Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion de l'accès aux AWS ressources
<a name="access"></a>

Gestion des identités et des accès AWS (IAM) est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Lorsqu'un [principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) fait une demande AWS, le code d' AWS exécution vérifie si le principal est authentifié (connecté) et autorisé (possède des autorisations). Vous gérez l'accès en AWS créant des politiques et en les associant aux identités ou aux AWS ressources IAM. Les politiques sont des documents JSON AWS qui, lorsqu'ils sont attachés à une identité ou à une ressource, définissent leurs autorisations. Pour plus d'informations sur les types de politiques et les utilisations, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).

Pour en savoir plus sur le reste du processus d'authentification et d'autorisation, consultez [Fonctionnement de IAM](intro-structure.md).

![\[AccessManagement_Schéma\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/access-diagram_800.png)


Lors de l'autorisation, le code d' AWS application utilise les valeurs du [contexte de la demande](intro-structure.md#intro-structure-request) pour vérifier les politiques correspondantes et déterminer s'il convient d'autoriser ou de refuser la demande. 

AWS vérifie chaque politique qui s'applique au contexte de la demande. Si une seule politique refuse la demande, AWS refuse l'intégralité de la demande et arrête l'évaluation des politiques. Ceci est appelé un *refus explicite*. Étant donnée que les demandes sont *refusées par défaut*, IAM autorise votre demande uniquement si chacune de ses parties est autorisée par les politiques applicables. La [logique d'évaluation](reference_policies_evaluation-logic.md) pour une demande au sein d'un même compte utilise les règles suivantes :
+ Par défaut, toutes les demandes sont implicitement refusées. (Autrement, par défaut, le Utilisateur racine d'un compte AWS dispose d'un accès complet.) 
+ Une autorisation explicite dans une politique basée sur l'identité ou les ressources remplace cette valeur par défaut.
+ Si une limite d'autorisations, un AWS Organizations SCP ou une politique de session est présente, elle peut remplacer l'autorisation par un refus implicite.
+ Un refus explicite dans n'importe quelle stratégie remplace toutes les autorisations.

Une fois que votre demande a été authentifiée et autorisée, AWS approuve la demande. Si vous avez besoin d'effectuer une demande dans un compte différent, une politique dans l'autre compte doit vous permettre d'accéder à la ressource. En outre, l'entité IAM que vous utilisez pour effectuer la demande doit avoir une politique basée sur l'identité qui autorise la demande.

## Ressources de gestion des accès
<a name="access_resources"></a>

Pour plus d'informations sur les autorisations et la création de politiques, consultez les ressources suivantes :

Les entrées suivantes du blog sur la AWS sécurité décrivent les méthodes courantes de rédaction de politiques d'accès aux compartiments et aux objets Amazon S3.
+ [Writing IAM Policies: How to Grant Access to an Amazon S3 Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [Writing IAM policies: Grant Access to User-Specific Folders in an Amazon S3 Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [Politiques IAM et politiques relatives aux compartiments et \$1 ACLs Oh My\$1 (Contrôler l'accès aux ressources S3)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)
+ [A Primer on RDS Resource-Level Permissions](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [Démystifier les autorisations EC2 au niveau des ressources](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)

# Politiques et autorisations dans Gestion des identités et des accès AWS
<a name="access_policies"></a>

Gérez l'accès en AWS créant des politiques et en les associant aux identités IAM (utilisateurs, groupes d'utilisateurs ou rôles) ou aux AWS ressources. Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un principal IAM (utilisateur ou rôle) fait une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de documents JSON. AWS prend en charge sept types de politiques : les politiques basées sur l'identité, les politiques basées sur les ressources, les limites d'autorisations, les politiques de contrôle des AWS Organizations services (SCPs), les politiques de contrôle AWS Organizations des ressources (RCPs), les listes de contrôle d'accès (ACLs) et les politiques de session.

Les politiques IAM définissent les autorisations d’une action, quelle que soit la méthode que vous utilisez pour exécuter l’opération. Par exemple, si une politique autorise l'[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)action, un utilisateur utilisant cette politique peut obtenir des informations utilisateur auprès de AWS Management Console, de AWS CLI, ou de l' AWS API. Lorsque vous créez un utilisateur IAM, vous pouvez choisir d'autoriser la console ou un accès par programme. Si l'accès à la console est autorisé, l'utilisateur IAM peut s'y connecter à l'aide de ses informations d'identification. Si l'accès programmatique est autorisé, l'utilisateur peut utiliser des clés d'accès pour travailler avec la CLI ou l'API.

## Types de politique
<a name="access_policy-types"></a>

Les types de politiques suivants sont répertoriés dans l'ordre du plus fréquemment utilisé au moins fréquemment utilisé, et ils peuvent être utilisés dans AWS. Pour de plus amples informations, veuillez consulter les sections ci-dessous pour chaque type de politique.
+ **[Identity-based policies](#policies_id-based)** (Politiques basées sur l'identité) : attachez des politiques [gérées](#managedpolicy) et [en ligne](#inline) à des identités IAM (utilisateurs, groupes auxquels appartiennent des utilisateurs ou rôles). Les politiques basées sur l'identité accordent des autorisations à une identité.
+ **[Resource-based policies](#policies_resource-based)** (Politiques basées sur les ressources) : attachez des politiques en ligne aux ressources. Les exemples les plus courants de politiques basées sur les ressources sont les politiques de compartiment Amazon S3 et les politiques confiance de rôle IAM. Les politiques basées sur des ressources accordent des autorisations au principal qui est spécifié dans la politique. Les principaux peuvent être dans le même compte que la ressource ou dans d'autres comptes.
+ **[Permissions boundaries](#policies_bound)** (Limites d'autorisations) : utilisez une politique gérée en tant que limite d'autorisations pour une entité IAM (utilisateur ou rôle). Cette politique définit les autorisations maximales que les politiques basées sur une identité peuvent accorder à une entité, mais n'accorde pas d'autorisations. Les limites d'autorisations ne définissent pas les autorisations maximales qu'une politique basée sur les ressources peut accorder à une entité.
+ **[AWS Organizations SCPs](#policies_scp)**— Utilisez une politique de contrôle des AWS Organizations services (SCP) pour définir les autorisations maximales pour les utilisateurs IAM et les rôles IAM au sein des comptes de votre organisation ou unité organisationnelle (UO). SCPs limiter les autorisations que les politiques basées sur l'identité ou les politiques basées sur les ressources accordent aux utilisateurs IAM ou aux rôles IAM au sein du compte. SCPs n'accordez pas d'autorisations.
+ **[AWS Organizations RCPs](#policies_rcp)**— Utilisez une politique de contrôle AWS Organizations des ressources (RCP) pour définir les autorisations maximales pour les ressources au sein des comptes de votre organisation ou unité organisationnelle (UO). RCPs limitez les autorisations que les politiques basées sur l'identité et les ressources peuvent accorder aux ressources des comptes au sein de votre organisation. RCPs n'accordez pas d'autorisations.
+ **[Listes de contrôle d'accès (ACLs)](#policies_acl)** : ACLs à utiliser pour contrôler les principaux des autres comptes qui peuvent accéder à la ressource à laquelle l'ACL est attachée. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles soient le seul type de politique qui n'utilise pas la structure du document de stratégie JSON. ACLs sont des politiques d'autorisations entre comptes qui accordent des autorisations au principal spécifié. ACLs ne peut pas accorder d'autorisations aux entités d'un même compte.
+ **[Politiques de session](#policies_session)** — Adoptez des politiques de session avancées lorsque vous utilisez l' AWS API AWS CLI or pour assumer un rôle ou un utilisateur fédéré. Les politiques de session limitent les autorisations que les politiques basées sur l'identité du rôle ou de l'utilisateur accordent à la session. Les politiques de session limitent les autorisations d'une session créée, mais n'accordent pas d'autorisations. Pour plus d'informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

### Politiques basées sur l'identité
<a name="policies_id-based"></a>

Les politiques basées sur l'identité sont des documents de politique d'autorisations JSON qui contrôlent les actions qu'une identité (utilisateurs, groupes d'utilisateurs et rôles) peut effectuer, sur quelles ressources, et dans quelles conditions. Les politiques basées l'identité peuvent être classées comme suit :
+ **Politiques gérées : politiques** autonomes basées sur l'identité que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre. Compte AWS Il existe deux types de politiques gérées.
  + **AWS politiques gérées** : politiques gérées créées et gérées par AWS.
  + **Politiques gérées par le client** : politiques gérées que vous créez et gérez dans votre Compte AWS. Les politiques gérées par le client fournissent un contrôle plus précis de vos politiques que les politiques AWS gérées.
+ **Politiques en ligne** : politiques que vous ajoutez directement à un utilisateur unique, un groupe d’utilisateurs, ou un rôle. Les politiques intégrées maintiennent une one-to-one relation stricte entre une politique et une identité. Elles sont supprimées lorsque vous supprimez l'identité.

Pour savoir comment choisir entre des politiques gérées et en ligne, veuillez consulter [Choix entre politiques gérées et politiques en ligne](access_policies-choosing-managed-or-inline.md).

### Politiques basées sur les ressources
<a name="policies_resource-based"></a>

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource, telle qu'un compartiment Amazon S3. Ces politiques accordent au principal spécifié l'autorisation d'effectuer des actions spécifiques sur cette ressource et définit sous quelles conditions cela s'applique. Les politiques basées sur les ressources sont des politiques en ligne. Il ne s'agit pas de politiques gérées basées sur les ressources. 

Pour permettre un accès comptes multiples , vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. L’ajout d’un principal intercompte à une politique basée sur les ressources ne représente qu’une partie de l’instauration de la relation d’approbation. Lorsque le principal et la ressource sont séparés Comptes AWS, vous devez également utiliser une politique basée sur l'identité pour accorder au principal l'accès à la ressource. Toutefois, si une politique basée sur des ressources accorde l'accès à un principal dans le même compte, aucune autre politique basée sur l'identité n'est requise. Pour obtenir des instructions détaillées sur l'octroi d'un accès entre services, veuillez consulter [Tutoriel IAM : déléguer l'accès entre AWS comptes à l'aide de rôles IAM](tutorial_cross-account-with-roles.md).

Le service IAM prend en charge un seul type de politique basée sur les ressources, nommé *politique d'approbation* de rôle, qui est attaché à un rôle IAM. Un rôle IAM est à la fois une identité et une ressource qui prend en charge les politiques basées sur les ressources. C'est pour cette raison que vous devez associer une politique d'approbation et une politique basée sur une identité à un rôle IAM. Les politiques d'approbation définissent quelles entités principaux (comptes, utilisateurs, rôles et utilisateurs fédérés) peuvent endosser le rôle. Pour en savoir plus sur la façon dont les rôles IAM sont différents d'autres politiques basées sur les ressources, consultez [Accès intercompte aux ressources dans IAM](access_policies-cross-account-resource-access.md).

Pour connaître les autres services qui prennent en charge les politiques basées sur les ressources, voir [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md). Pour en savoir plus sur politiques basées sur les ressources, voir [Politiques basées sur l'identité et Politiques basées sur une ressource](access_policies_identity-vs-resource.md). Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, consultez [Qu'est-ce que l'Analyseur d'accès IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

### Limites d'autorisations IAM
<a name="policies_bound"></a>

Une limite d'autorisations est une fonctionnalité avancée dans laquelle vous définissez les autorisations maximales qu'une politique basée sur les identités peut accorder à une entité IAM. Lorsque vous définissez une limite d’autorisations pour une entité, l’entité peut effectuer uniquement les actions autorisées par ses deux ses politiques basées sur l’identité et ses limites d’autorisations. Si vous spécifiez un rôle, une session ou un utilisateur dans l’élément principal d’une politique basée sur les ressources, une autorisation explicite dans la limite des autorisations n’est pas requise. Toutefois, si vous spécifiez un ARN de rôle dans l’élément principal d’une politique basée sur les ressources, une autorisation explicite dans la limite des autorisations est requise. Dans les deux cas, un refus explicite dans la limite des autorisations est effectif. Un refus explicite dans l’une de ces politiques annule l’autorisation. Pour plus d'informations sur les limites d'autorisations, consultez [Limites d'autorisations pour les entités IAM](access_policies_boundaries.md).

### AWS Organizations politiques de contrôle des services (SCPs)
<a name="policies_scp"></a>

Si vous activez toutes les fonctionnalités d'une organisation, vous pouvez appliquer des politiques de contrôle des services (SCPs) à l'un ou à l'ensemble de vos comptes. SCPs sont des politiques JSON qui spécifient les autorisations maximales pour les utilisateurs IAM et les rôles IAM au sein des comptes d'une organisation ou d'une unité organisationnelle (UO). Le SCP limite les autorisations accordées aux principaux sur les comptes des membres, y compris pour chacun d'entre eux. Utilisateur racine d'un compte AWS Un rejet explicite dans l’une de ces politiques annule toute autorisation définie dans d’autres politiques.

Pour plus d'informations sur AWS Organizations et SCPs, voir [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de AWS Organizations l'utilisateur*.

### AWS Organizations politiques de contrôle des ressources (RCPs)
<a name="policies_rcp"></a>

Si vous activez toutes les fonctionnalités d'une organisation, vous pouvez utiliser les politiques de contrôle des ressources (RCPs) pour appliquer de manière centralisée des contrôles d'accès aux ressources de plusieurs organisations Comptes AWS. RCPs sont des politiques JSON que vous pouvez utiliser pour définir le maximum d'autorisations disponibles pour les ressources de vos comptes sans mettre à jour les politiques IAM associées à chaque ressource que vous possédez. Le RCP limite les autorisations pour les ressources des comptes membres et peut avoir un impact sur les autorisations effectives pour les identités, y compris Utilisateur racine d'un compte AWS, qu'elles appartiennent ou non à votre organisation. Un refus explicite dans toute RCP applicable annule toute autorisation définie dans d’autres politiques susceptibles d’être associées à des identités ou à des ressources individuelles.

Pour plus d'informations AWS Organizations et pour RCPs inclure une liste de ces Services AWS supports RCPs, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.

### Listes de contrôle d'accès (ACLs)
<a name="policies_acl"></a>

Les listes de contrôle d'accès (ACLs) sont des politiques de service qui vous permettent de contrôler quels principaux d'un autre compte peuvent accéder à une ressource. ACLs ne peut pas être utilisé pour contrôler l'accès d'un mandant au sein du même compte. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles soient le seul type de politique qui n'utilise pas le format de document de stratégie JSON. Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.

### Politiques de session
<a name="policies_session"></a>

Les politiques de session sont des politiques avancées que vous transmettez en paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur principal AWS STS fédéré. Les autorisations d'une session sont une combinaison des politiques basées sur l'identité de l'entité IAM (utilisateur ou rôle) utilisée pour créer la session et les politiques de session. Les autorisations peuvent également provenir d'une politique basée sur les ressources. Un refus explicite dans l’une de ces politiques annule l’autorisation.

Vous pouvez créer une session de rôle et transmettre des politiques de session par programmation à l'aide des opérations d'API `AssumeRole`, `AssumeRoleWithSAML` ou `AssumeRoleWithWebIdentity`. Vous pouvez transmettre un seul document de politique de session en ligne JSON à l'aide du paramètre `Policy`. Vous pouvez utiliser le paramètre `PolicyArns` pour spécifier jusqu'à 10 politiques de session gérées. Pour plus d'informations sur la création d'une session de rôle, consultez [Autorisations affectées aux informations d’identification de sécurité temporaires](id_credentials_temp_control-access.md).

Lorsque vous créez une session utilisateur principale AWS STS fédérée, vous utilisez les clés d'accès de l'utilisateur IAM pour appeler par programmation l'opération d'API. `GetFederationToken` Vous devez également transmettre des politiques de session. Les autorisations de session obtenues sont une combinaison de la politique basée sur l'identité et de la politique de session. Pour plus d'informations sur la création d'une session d'utilisateur fédéré, consultez [Demande d’informations d’identification via un fournisseur d’identité personnalisé](id_credentials_temp_request.md#api_getfederationtoken).

Une politique basée sur les ressources peut spécifier l'ARN de l'utilisateur ou du rôle en tant que principal. Dans ce cas, les autorisations de la politique basée sur les ressources sont ajoutées à la politique basée sur l'identité du rôle ou l'utilisateur avant la création de la session. La politique de session limite les autorisations totales accordées par la politique basée sur les ressources et la politique basée sur l'identité. Les autorisations de session résultantes sont l'intersection des politiques de session et des politiques basées sur les ressources, plus l'intersection des politiques de session et des politiques basées sur l'identité.

![\[Évaluation de la politique de session avec une politique basée sur les ressources en spécifiant l'ARN de l'entité\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/EffectivePermissions-session-rbp-id.png)


Une politique basée sur les ressources peut spécifier l'ARN de la session en tant que principal. Dans ce cas, les autorisations de la politique basée sur les ressources sont ajoutées après la création de la session. Les autorisations de politique basée sur les ressources ne sont pas limitées par la politique de session. La session résultante dispose de toutes les autorisations de la politique basée sur les ressources *en plus* de la combinaison de la politique basée sur l'identité et de la politique de session.

![\[Évaluation de la politique de session avec une politique basée sur les ressources en spécifiant l'ARN de la session\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/EffectivePermissions-session-rbpsession-id.png)


Une limite d'autorisations peut définir la limite maximale des autorisations pour un utilisateur ou un rôle qui est utilisé pour créer une session. Dans ce cas, les autorisations de session obtenues sont une combinaison de la politique de session, de la limite d'autorisations et de la politique basée sur l'identité. Toutefois, une limite d'autorisations ne limite pas les autorisations accordées par une politique basée sur les ressources, qui spécifie l'ARN de la session résultante.

![\[Évaluation de la politique de session avec une limite d'autorisations\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Politiques et utilisateur racine
<a name="access_policies-root"></a>

Elle Utilisateur racine d'un compte AWS est affectée par certains types de politiques, mais pas par d'autres. Vous ne pouvez pas attacher des politiques basées sur l'identité à l'utilisateur racine, et vous ne pouvez pas définir la limite d'autorisations pour l'utilisateur racine. Pourtant, vous pouvez spécifier l'utilisateur racine en tant que principal dans une politique basée sur les ressources ou une liste de contrôle d'accès. Un utilisateur racine est toujours le membre d'un compte. Si ce compte est membre d'une organisation en AWS Organizations, l'utilisateur root est affecté par SCPs et RCPs pour le compte.

## Présentation des politiques JSON
<a name="access_policies-json"></a>

La plupart des politiques sont stockées AWS sous forme de documents JSON. Les politiques basées sur l'identité et les politiques utilisées pour définir des autorisations sont des documents de politique JSON que vous attachez à un utilisateur ou à un rôle. Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. SCPset RCPs sont des documents de politique JSON à syntaxe restreinte que vous attachez à la AWS Organizations« racine de l'organisation », à l'unité organisationnelle (UO) ou à un compte. ACLs sont également attachés à une ressource, mais vous devez utiliser une syntaxe différente. Les politiques de session sont des politiques JSON que vous fournissez lorsque vous endossez une session de rôle ou d'utilisateur fédéré.

Il n'est pas nécessaire pour vous de comprendre la syntaxe JSON. Vous pouvez utiliser l'éditeur visuel du AWS Management Console pour créer et modifier des politiques gérées par le client sans jamais utiliser le JSON. Toutefois, si vous utilisez des politiques en ligne pour des groupes ou des politiques complexes, vous devez quand même créer et modifier ces politiques dans l'éditeur JSON à l'aide de la console. Pour plus d'informations sur l'utilisation de l'éditeur visuel, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md) et [Modification de politiques IAM](access_policies_manage-edit.md).

 Lorsque vous créez ou modifiez une politique JSON, IAM peut effectuer une validation de politique pour vous aider à créer une politique efficace. IAM identifie les erreurs de syntaxe JSON, tandis que IAM Access Analyzer fournit des vérifications de politique supplémentaires avec des recommandations pour vous aider à affiner vos politiques. Pour en savoir plus sur la validation de politiques, veuillez consulter [Validation de politique IAM](access_policies_policy-validator.md). Pour en savoir plus sur les vérifications des politiques IAM Access Analyzer et les recommandations exploitables, veuillez consulter [Validation de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). 

### Structure d'un document de politique JSON
<a name="policies-introduction"></a>

Comme illustré dans la figure suivante, un document de politique JSON inclut les éléments suivants :
+ Informations facultatives sur l'ensemble de la politique (en haut du document)
+ Une ou plusieurs instructions individuelles**

Chaque instruction inclut des informations sur une seule autorisation. Si une politique inclut plusieurs instructions, AWS applique une logique `OR` aux instructions lors de leur évaluation. Si plusieurs politiques s'appliquent à une demande, AWS applique une logique `OR` à toutes ces politiques lors de leur évaluation. 

![\[Structure d'un document de politique JSON\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/AccessPolicyLanguage_General_Policy_Structure.diagram.png)


Les informations contenues dans une instruction sont situées dans une série d'éléments.
+ **Version** : spécifiez la version du langage de politique que vous souhaitez utiliser. Nous vous recommandons de choisir la dernière version `2012-10-17 `. Pour de plus amples informations, consultez [Éléments de politique JSON IAM : Version](reference_policies_elements_version.md).
+ **Statement** : utilisez cet élément de politique principal comme conteneur pour les éléments suivants. Vous pouvez inclure plus d'une instruction dans une politique.
+ **Sid** (Facultatif) : incluez un ID d'instruction facultatif pour différencier vos instructions.
+ **Effect** : utilisez `Allow` ou `Deny` pour indiquer si la politique autorise ou refuse l'accès.
+ **Principal**(Obligatoire dans certaines circonstances) — Si vous créez une politique basée sur les ressources, vous devez indiquer le compte, l'utilisateur, le rôle ou l'utilisateur principal AWS STS fédéré auquel vous souhaitez autoriser ou refuser l'accès. Si vous créez une politique d'autorisations IAM à attacher à un utilisateur ou un rôle, vous ne pouvez pas inclure cet élément. Le principal est implicitement cet utilisateur ou rôle.
+ **Action** : incluez la liste des actions autorisées ou refusées par la politique.
+ **Resource** (Obligatoire dans certaines circonstances) : si vous créez une politique d’autorisations IAM, vous devez spécifier la liste des ressources auxquelles les actions s’appliquent. Si vous créez une politique basée sur les ressources, cet élément est requis ou non en fonction de la ressource que vous utilisez.
+ **Condition** (Facultatif) : spécifiez les circonstances dans lesquelles la politique accorde une autorisation.

Pour en savoir plus sur ces éléments et d'autres éléments de politique plus avancés, consultez [Référence de l’élément de politique JSON IAM](reference_policies_elements.md). 

### Plusieurs instructions et plusieurs politiques
<a name="policies-syntax-multiples"></a>

Si vous souhaitez définir plusieurs autorisations pour une entité (utilisateur ou rôle), vous pouvez utiliser plusieurs instructions dans une seule politique. Vous pouvez également attacher plusieurs politiques. Si vous essayez de définir plusieurs autorisations dans une seule instruction, votre politique peut ne pas accorder l'accès que vous attendez. Nous vous recommandons de répartir les politiques par type de ressource. 

En raison de la [taille limitée des politiques](reference_iam-quotas.md), il peut être nécessaire d'en utiliser plusieurs pour les autorisations les plus complexes. Il est également conseillé de créer des regroupements fonctionnels d'autorisations dans une politique gérée par le client séparée. Par exemple, créez une politique pour la gestion des utilisateurs IAM, une pour la gestion automatique et une autre pour la gestion de compartiment S3. Quelle que soit la combinaison de plusieurs déclarations et de plusieurs politiques, AWS [évalue](reference_policies_evaluation-logic.md) vos politiques de la même manière.

Par exemple, la politique suivante comporte trois instructions, chacune définissant un ensemble séparé d'autorisations dans un seul compte. Les instructions définissent les opérations suivantes :
+ La première instruction, avec un `Sid` (ID d’instruction) de `FirstStatement`, permet à l'utilisateur disposant de la politique attachée de modifier son propre mot de passe. L'élément `Resource` de cette instruction a pour valeur « `*` » (ce qui signifie « toutes les ressources »). Toutefois, dans la pratique, l'opération d'API `ChangePassword` (ou la commande CLI `change-password` équivalente) affecte uniquement le mot de passe de l'utilisateur qui fait la demande. 
+ La deuxième instruction permet à l'utilisateur de répertorier tous les compartiments Amazon S3 de son Compte AWS. L'élément `Resource` de cette instruction a pour valeur `"*"` (ce qui signifie « toutes les ressources »). Cependant, du fait que les politiques n'accordent pas l'accès aux ressources des autres comptes, l'utilisateur ne peut répertorier que les compartiments de son propre Compte AWS. 
+ La troisième instruction permet à l'utilisateur de répertorier les objets situés dans un compartiment appelé `amzn-s3-demo-bucket-confidential-data`, mais uniquement lorsque l'utilisateur est authentifié avec une authentification multi-facteur (MFA). L'élément `Condition` de la politique applique l'authentification MFA.

  Lorsqu'une instruction de politique contient un élément `Condition`, l'instruction est effective uniquement lorsque l'élément `Condition` est true. Dans ce cas, la `Condition` est true lorsque l'utilisateur est authentifié MFA. Si l'utilisateur n'est pas authentifié MFA, cette `Condition` est false. Dans ce cas, la troisième instruction de cette politique ne s'applique pas et l'utilisateur n'a pas accès au compartiment `amzn-s3-demo-bucket-confidential-data`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}
```

------

### Exemples de syntaxe d'une politique JSON
<a name="policies-syntax-examples"></a>

La politique basée sur l'identité suivante permet au principal implicite de répertorier un seul compartiment Amazon S3 nommé `amzn-s3-demo-bucket` : 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}
```

------

La politique basée sur les ressources suivante peut être attachée à un compartiment Amazon S3. La politique permet aux membres d'un groupe spécifique Compte AWS d'effectuer toutes les actions Amazon S3 dans le compartiment nommé`amzn-s3-demo-bucket`. Elle permet à n'importe quelle action d'être exécutée sur un compartiment ou les objets qu'il contient. (Du fait que la politique accorde une approbation uniquement au compte, les utilisateurs individuels du compte doivent se voir accorder des autorisations concernant les actions Amazon S3 spécifiées.) 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Pour afficher des exemples de politiques sur des scénarios courants, consultez [Exemples de politiques basées sur l'identité IAM](access_policies_examples.md).

## Accorder le moindre privilège
<a name="grant-least-priv"></a>

Lorsque vous créez des politiques IAM, suivez le conseil de sécurité standard du *moindre privilège*, principe selon lequel il ne faut accorder que les autorisations requises pour une seule tâche. Déterminez les actions que les utilisateurs (et les rôles) doivent effectuer et élaborez des politiques leur permettant de réaliser *uniquement* ces tâches. 

Commencez avec un ensemble d'autorisations minimum et accordez-en d'autres si nécessaire. Cela est plus sûr que de commencer par des autorisations trop clémentes puis d'essayer de les renforcer ultérieurement.

Comme alternative au moindre privilège, vous pouvez utiliser des [politiques gérées par AWS](access_policies_managed-vs-inline.md#aws-managed-policies) ou des politiques accompagnées d'autorisations de `*` par caractère générique, pour commencer avec les politiques. Veuillez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche. Contrôlez ces principaux afin de savoir quelles autorisations ils utilisent. Écrivez ensuite des politiques de moindre privilège.

IAM propose plusieurs options pour vous aider à affiner les autorisations que vous octroyez.
+ **Understand access level groupings** (Comprendre les regroupements de niveau d'accès) : vous pouvez utiliser des regroupements de niveaux d'accès pour comprendre le niveau d'accès accordé par la politique. Les [actions de politique](reference_policies_elements_action.md) sont classées en tant que `List`, `Read`, `Write`, `Permissions management` ou `Tagging`. Par exemple, vous pouvez choisir des actions dans les niveaux d'accès `List` et `Read` pour accorder un accès en lecture seule à vos utilisateurs. Pour savoir comment utiliser les récapitulatifs de politiques pour comprendre les autorisations de niveau d'accès, consultez [Niveaux d'accès dans les récapitulatifs de politique](access_policies_understand-policy-summary-access-level-summaries.md).
+ **Valider vos politiques** : vous pouvez effectuer une validation de politique à l'aide d'IAM Access Analyzer lorsque vous créez et modifiez des politiques JSON. Nous vous recommandons d'examiner et de valider toutes vos politiques existantes. IAM Access Analyzer fournit plus de 100 vérifications de politiques pour valider vos politiques. Il génère des avertissements de sécurité lorsqu'une instruction de votre politique autorise un accès que nous considérons comme trop permissif. Vous pouvez utiliser les recommandations exploitables contenues dans les avertissements de sécurité lorsque vous travaillez à l'octroi du moindre privilège. Pour en savoir plus sur les vérifications de politique fournies par IAM Access Analyzer, veuillez consulter [IAM Access Analyzer policy validation (Validation de politique IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Générer une politique basée sur l'activité d'accès** : pour affiner les autorisations que vous octroyez, vous pouvez générer une politique IAM basée sur l'activité d'accès pour une entité IAM (utilisateur ou rôle). IAM Access Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations qui ont été utilisées par l'entité au cours de la période spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations affinées, puis l'attacher à l'entité IAM. Ainsi, vous accordez uniquement les autorisations dont l'utilisateur ou le rôle a besoin pour interagir avec les AWS ressources correspondant à votre cas d'utilisation spécifique. Pour en savoir plus, consultez [Génération d’une politique de l’analyseur d’accès IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ **Utiliser les dernières informations consultées** : les *dernières informations consultées* sont une autre fonction pouvant vous aider avec le principe de moindre privilège. Consultez ces informations sous l'onglet **Access Advisor** sur la page des détails de la console IAM pour un utilisateur, un groupe, un rôle ou une politique IAM. Les dernières informations consultées incluent également des informations sur les dernières actions consultées pour certains services, tels qu'Amazon EC2, IAM, Lambda et Amazon S3. Si vous vous connectez à l'aide AWS Organizations des informations d'identification du compte de gestion, vous pouvez consulter les informations du dernier accès au service dans la **AWS Organizations**section de la console IAM. Vous pouvez également utiliser l' AWS API AWS CLI or pour récupérer un rapport sur les dernières informations consultées pour les entités ou les politiques dans IAM ou AWS Organizations. Vous pouvez utiliser ces informations pour identifier les autorisations inutiles afin d'affiner votre IAM ou vos AWS Organizations politiques afin de mieux respecter le principe du moindre privilège. Pour de plus amples informations, veuillez consulter [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).
+ Passez en **revue les événements du compte dans AWS CloudTrail** — Pour réduire davantage les autorisations, vous pouvez consulter les événements de votre compte dans **l'historique des AWS CloudTrail événements**. CloudTrail les journaux d'événements contiennent des informations détaillées sur les événements que vous pouvez utiliser pour réduire les autorisations prévues par la politique. Les journaux incluent uniquement les actions et les ressources dont vos entités IAM ont besoin. Pour plus d'informations, consultez la section [Affichage CloudTrail des événements dans la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) dans le *guide de AWS CloudTrail l'utilisateur*.



Pour en savoir plus, consultez les rubriques de politiques pour des services individuels qui fournissent des exemples de rédaction de politiques pour des ressources spécifiques à des services.
+ [Utilisation de politiques basées sur les ressources pour DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html) dans le *Guide du développeur Amazon DynamoDB*
+ [Politiques de compartiment pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) dans le *Guide de l’utilisateur Amazon Simple Storage Service*.
+ [Présentation de la liste de contrôle d’accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *Guide de l’utilisateur Amazon Simple Storage Service*

# Politiques gérées et politiques en ligne
<a name="access_policies_managed-vs-inline"></a>

Lorsque vous définissez les autorisations pour une identité dans IAM, vous devez décider si vous souhaitez utiliser une politique gérée par AWS , une politique gérée par le client ou une politique en ligne. Les rubriques suivantes contiennent d'autres informations sur chaque type de politique basée sur l'identité et sur la façon de les utiliser.

Le tableau suivant décrit ces politiques :


| Type de politique | Description | Qui gère la politique ? | Modifier les autorisations ? | Nombre de principaux appliqués à la politique ? | 
| --- | --- | --- | --- | --- | 
| [AWS politiques gérées](#aws-managed-policies) | Politique autonome créée et administrée par AWS. | AWS | Non | Nombreux | 
| [Politiques gérées par le client](#customer-managed-policies) | Vous créez des politiques pour des cas d’utilisation spécifiques et vous pouvez les modifier ou les mettre à jour aussi souvent que vous le souhaitez. | Vous | Oui | Nombreux | 
| [Politiques en ligne](#inline-policies) | Stratégie créée pour une seule identité IAM (utilisateur, groupe ou rôle) qui maintient une one-to-one relation stricte entre une politique et une identité. | Vous | Oui | Un | 

**Topics**
+ [AWS politiques gérées](#aws-managed-policies)
+ [Politiques gérées par le client](#customer-managed-policies)
+ [Politiques en ligne](#inline-policies)
+ [Choix entre politiques gérées et politiques en ligne](access_policies-choosing-managed-or-inline.md)
+ [Conversion d’une politique en ligne en politique gérée](access_policies-convert-inline-to-managed.md)
+ [Politiques gérées déconseillées AWS](access_policies_managed-deprecated.md)

## AWS politiques gérées
<a name="aws-managed-policies"></a>

Une *politique gérée par AWS * est une politique autonome qui est créée et gérée par AWS. Une *politique autonome* correspond à une politique qui possède son propre Amazon Resource Name (ARN) comprenant le nom de la politique. Par exemple, il `arn:aws:iam::aws:policy/IAMReadOnlyAccess` s'agit d'une politique AWS gérée. Pour plus d'informations sur ARNs, voir[IAM ARNs](reference_identifiers.md#identifiers-arns). Pour obtenir la liste des politiques AWS gérées pour Services AWS, consultez la section [stratégies AWS gérées](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).

AWS les politiques gérées vous permettent d'attribuer facilement les autorisations appropriées aux utilisateurs, aux groupes IAM et aux rôles. Plus rapide que d'écrire vous-même les politiques, cela inclut des autorisations pour de nombreux cas d'utilisation courants.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. AWS met occasionnellement à jour les autorisations définies dans une politique AWS gérée. Dans ce cas AWS , la mise à jour affecte toutes les entités principales (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'un nouveau AWS service est lancé ou que de nouveaux appels d'API sont disponibles pour les services existants. Par exemple, la politique AWS gérée appelée **ReadOnlyAccess**fournit un accès en lecture seule à toutes Services AWS les ressources. Lors du AWS lancement d'un nouveau service, AWS met à jour la **ReadOnlyAccess**politique pour ajouter des autorisations en lecture seule pour le nouveau service. Les autorisations mises à jour s'appliquent à toutes les entités du principal auxquelles la politique est attachée.

*Politiques de AWS gestion de l'accès complet* : elles définissent les autorisations pour les administrateurs de services en accordant un accès complet à un service. En voici quelques exemples :
+ [AmazonDynamoDBFullAccès](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccès](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)

*Politiques AWS gérées par les utilisateurs expérimentés : elles fournissent un accès complet aux ressources Services AWS et aux utilisateurs, mais ne permettent pas de gérer les utilisateurs et les groupes* IAM. En voici quelques exemples :
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html) 
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)

*Politiques de AWS gestion de l'accès partiel* : elles fournissent des niveaux d'accès spécifiques Services AWS sans autoriser les autorisations de niveau d'accès liées à [la gestion des autorisations](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level). En voici quelques exemples :
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) 

*Politiques de AWS gestion des fonctions* : Ces politiques s'alignent étroitement sur les fonctions professionnelles couramment utilisées dans le secteur informatique et facilitent l'octroi d'autorisations pour ces fonctions. L'un des principaux avantages de l'utilisation des politiques relatives aux fonctions de travail est qu'elles sont maintenues et mises à jour à AWS mesure que de nouveaux services et opérations d'API sont introduits. Par exemple, la fonction [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)job fournit un accès complet et une délégation d'autorisations à chaque service et ressource qu'il contient AWS. Nous vous recommandons de n'utiliser cette politique que pour l'administrateur de compte. Pour les utilisateurs expérimentés qui ont besoin d'un accès complet à tous les services, à l'exception d'un accès limité à IAM AWS Organizations, utilisez la fonction [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)job. Pour obtenir la liste et la description des politiques de fonctions professionnelles, consultez la page [AWS politiques gérées pour les fonctions professionnelles](access_policies_job-functions.md).

Le schéma suivant illustre les politiques AWS gérées. Le diagramme montre trois politiques AWS gérées : **AdministratorAccess**, **PowerUserAccess**, et **AWS CloudTrail\$1 ReadOnlyAccess**. Notez qu'une seule politique AWS gérée peut être attachée à des entités principales dans différentes Comptes AWS entités principales et à différentes entités principales dans une seule Compte AWS.

![\[Schéma des politiques AWS gérées\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)


## Politiques gérées par le client
<a name="customer-managed-policies"></a>

Vous pouvez créer vos propres politiques autonomes Compte AWS que vous pouvez associer aux entités principales (utilisateurs IAM, groupes IAM et rôles IAM). Vous créez ces *politiques gérées par le client* pour vos cas d'utilisation spécifiques, et vous pouvez les modifier et les mettre à jour aussi souvent que vous le souhaitez. À l'instar des politiques AWS gérées, lorsque vous attachez une stratégie à une entité principale, vous accordez à l'entité les autorisations définies dans la stratégie. Lorsque vous mettez à jour les autorisations dans la politique, les changements sont appliqués à toutes les entités du principal auxquelles la politique est attachée.

Pour créer une politique gérée par le client, une bonne méthode consiste à commencer par copier une politique gérée par AWS . De cette façon, vous êtes sûr que la politique est correcte au départ ; il vous suffit ensuite de la personnaliser en fonction de votre environnement.

Le diagramme suivant illustre des politiques gérées par le client. Chaque politique est une entité dans IAM avec son propre [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) dans lequel figure le nom de la politique. Notez qu'une même politique peut être attachée à plusieurs entités du principal. Par exemple, la politique **DynamoDB-books-app** est attachée à deux rôles IAM différents.

Pour de plus amples informations, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).

![\[Diagramme de politiques gérées par le client\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)


## Politiques en ligne
<a name="inline-policies"></a>

Une politique en ligne est une politique créée pour une identité IAM (utilisateur, groupe d’utilisateurs ou rôle). Les politiques intégrées maintiennent une one-to-one relation stricte entre une politique et une identité. Elles sont supprimées lorsque vous supprimez l'identité. Vous pouvez créer une politique et l'intégrer dans une identité, soit lors de la création de l'identité, soit ultérieurement. Si une politique peut s'appliquer à plusieurs entités, il est préférable d'utiliser une politique gérée.

Le diagramme suivant illustre des politiques en ligne. Chaque politique fait partie intégrante de l'utilisateur, du groupe ou du rôle. Notez que deux rôles incluent la même politique (politique **DynamoDB-books-app**), sans toutefois partager une même politique. Chaque rôle possède sa propre copie de la politique.

![\[Diagramme de politiques en ligne\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)


# Choix entre politiques gérées et politiques en ligne
<a name="access_policies-choosing-managed-or-inline"></a>

Prenez en compte vos cas d'utilisation lorsque vous devez choisir entre les politiques gérées et les politiques en ligne. Dans la plupart des cas, nous vous recommandons d'utiliser des politiques gérées plutôt que des politiques en ligne.

**Note**  
Vous pouvez utiliser à la fois des politiques gérées et des politiques en ligne pour définir des autorisations communes et uniques pour une entité du principal.

Les politiques gérées fournissent les fonctions suivantes :

**Réutilisation**  
Une même politique gérée peut être attachée à plusieurs entités du principal (utilisateurs, groupes et rôles). Vous pouvez créer une bibliothèque de politiques qui définissent des autorisations utiles pour vous Compte AWS, puis associer ces politiques aux entités principales selon les besoins.

**Gestion centralisée des modifications**  
Lorsque vous modifiez une politique gérée, le changement est appliqué à toutes les entités du principal auxquelles la politique est attachée. Par exemple, si vous souhaitez ajouter une autorisation pour une nouvelle AWS API, vous pouvez mettre à jour une politique gérée par le client ou associer une politique AWS gérée pour ajouter l'autorisation. Si vous utilisez une politique AWS gérée, AWS mettez-la à jour. Lorsqu’une politique gérée est mise à jour, les modifications sont appliquées à toutes les entités du principal auxquelles la politique gérée est rattachée. En revanche, pour modifier une politique en ligne, vous devez modifier individuellement chaque identité contenant la politique en ligne. Par exemple, si un groupe et un rôle contiennent tous les deux la même politique en ligne, vous devez modifier individuellement les deux entités du principal pour modifier la politique. 

**Versioning et restauration**  
Lorsque vous modifiez une politique gérée par le client, la politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. IAM stocke jusqu'à cinq versions de vos politiques gérées par le client. Vous pouvez utiliser les versions de politique pour restaurer une version antérieure, si nécessaire.   
Une version de politique est différente d'un élément de politique `Version`. L'élément de politique `Version` est utilisé dans une politique pour définir la version de la langue de la politique. Pour en savoir plus sur les versions de politiques, consultez [Gestion des versions des politiques IAM](access_policies_managed-versioning.md). Pour en savoir plus sur l'élément de politique `Version`, consultez [Éléments de politique JSON IAM : Version](reference_policies_elements_version.md).

**Délégation de la gestion des autorisations**  
Vous pouvez autoriser les utilisateurs de votre site Compte AWS à joindre et à détacher des politiques tout en gardant le contrôle sur les autorisations définies dans ces politiques. Pour ce faire, vous pouvez ainsi désigner certains utilisateurs en tant qu'administrateurs disposant de droits complets, autrement dit autorisés à créer, mettre à jour et supprimer des politiques. D'autres utilisateurs peuvent ensuite être désignés en tant qu'administrateurs limitées. Ces administrateurs restreints pouvent attacher des politiques à d'autres entités du principal, mais uniquement celles que vous leur avez autorisés à attacher.  
Pour plus d'informations sur la délégation de la gestion des autorisations, consultez [Contrôle de l'accès aux politiques](access_controlling.md#access_controlling-policies). 

**Limites de caractères des politiques plus grandes**  
La limite maximale de caractères pour les politiques gérées est supérieure à la limite de caractères pour les politiques de groupe en ligne. Si vous atteignez la limite de taille de caractères pour la politique en ligne, vous pouvez créer d'autres groupes IAM et associer la politique gérée au groupe.  
Pour plus d'informations sur les quotas et les limites, consultez [IAM et quotas AWS STS](reference_iam-quotas.md). 

**Mises à jour automatiques pour les politiques AWS gérées**  
AWS gère les politiques AWS gérées et les met à jour lorsque cela est nécessaire, par exemple pour ajouter des autorisations pour de nouveaux AWS services, sans que vous ayez à apporter de modifications. Les mises à jour sont automatiquement appliquées aux principales entités auxquelles vous avez attaché la politique AWS gérée. 

## Premiers pas avec les politiques gérées
<a name="access_policies-get-started-managed-policy"></a>

Nous vous recommandons d'utiliser des politiques qui [accordent le moins de privilèges](access_policies.md#grant-least-priv) ou d'accorder uniquement les autorisations requises pour effectuer une tâche. Le moyen le plus sûr d'octroyer le moindre privilège consiste à écrire une politique gérée par le client contenant uniquement les autorisations requises par votre équipe. Vous devez créer un processus pour autoriser votre équipe à demander plus d'autorisations si nécessaire. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](access_policies_create-console.md) qui ne fournissent à votre équipe que les autorisations dont elle a besoin.

Pour commencer à ajouter des autorisations à vos identités IAM (utilisateurs, groupes d'utilisateurs et rôles), vous pouvez utiliser[AWS politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies). AWS les politiques gérées n'accordent pas les autorisations du moindre privilège. Vous devez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche.

Vous pouvez associer des politiques AWS gérées, y compris des fonctions de travail, à n'importe quelle identité IAM. Pour de plus amples informations, veuillez consulter [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).

Pour passer aux autorisations du moindre privilège, vous pouvez exécuter Gestion des identités et des accès AWS Access Analyzer pour surveiller les principaux à l'aide de politiques AWS gérées. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire ou générer une politique gérée par le client avec uniquement les autorisations requises pour votre équipe. Cela est moins sûr, mais offre plus de flexibilité à mesure que vous apprenez comment votre équipe utilise AWS. Pour de plus amples informations, veuillez consulter [Génération d'une politique IAM Access Analyzer](access-analyzer-policy-generation.md).

AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants. Pour plus d'informations sur les politiques AWS gérées conçues pour des fonctions professionnelles spécifiques, consultez[AWS politiques gérées pour les fonctions professionnelles](access_policies_job-functions.md).

Pour obtenir la liste des politiques AWS gérées, consultez le [Guide de référence des politiques AWS gérées](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).

## Utilisation de politiques en ligne
<a name="policies-using-inline-policies"></a>

Les politiques intégrées sont utiles si vous souhaitez maintenir une one-to-one relation stricte entre une stratégie et l'identité à laquelle elle est appliquée. Par exemple, si vous voulez éviter que les autorisations d'une politique ne soient accidentellement affectées à une identité autre que celle à laquelle elles sont destinées. Lorsque vous utilisez une politique en ligne, ses autorisations ne peuvent pas être attachées par inadvertance à la mauvaise identité. En outre, lorsque vous utilisez le AWS Management Console pour supprimer cette identité, les politiques intégrées à l'identité sont également supprimées car elles font partie de l'entité principale.

# Conversion d’une politique en ligne en politique gérée
<a name="access_policies-convert-inline-to-managed"></a>

Si vous avez des politiques en ligne dans votre compte, vous pouvez les convertir en politiques gérées. Pour ce faire, copiez la politique dans une nouvelle politique gérée. Ensuite, attachez la nouvelle politique à l'identité qui inclut la politique en ligne. Ensuite, supprimez la politique en ligne. 

## Transformer une politique en ligne en politique gérée
<a name="access_policies-convert-inline-to-managed-procedure"></a>

**Pour convertir une politique en ligne en politique gérée**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, sélectionnez **User groups** (Groupes d'utilisateurs), **Users** (Utilisateurs) ou **Roles** (Rôles).

1. Choisissez dans la liste le nom du groupe d'utilisateurs, de l'utilisateur ou du rôle pour lequel vous souhaitez supprimer la politique.

1. Sélectionnez l’onglet **Autorisations**.

1. Pour les groupes IAM, sélectionnez le nom de la politique en ligne que vous souhaitez supprimer. Pour les utilisateurs et les rôles, choisissez **Afficher *n* plus**, si nécessaire, puis développez la politique intégrée que vous souhaitez supprimer.

1. Choisissez **Copier** pour copier le document de politique JSON pour la politique.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Choisissez **Créer une politique**, puis l'option **JSON**.

1. Remplacez le texte existant par votre texte de politique JSON, puis choisissez **Suivant**.

1. Saisissez un nom et une description facultative pour votre politique et choisissez **Créer une politique**.

1. Dans le panneau de navigation, sélectionnez **User groups** (Groupes d'utilisateurs), **Users** (Utilisateurs) ou **Roles** (Rôles), puis sélectionnez le nom du groupe d'utilisateurs, de l'utilisateur ou du rôle pour lequel vous souhaitez supprimer la politique.

1. Choisissez l'onglet **Autorisations**, puis **Ajouter des autorisations**.

1. Pour les groupes IAM, cochez la case en regard du nom de votre nouvelle politique, choisissez **Ajouter des autorisations**, puis **Attacher la politique**. Pour les utilisateurs ou les rôles, choisissez **Ajouter des autorisations**. Sur la page suivante, choisissez **Attacher directement les politiques existantes**, cochez la case en regard du nom de votre nouvelle politique, choisissez **Suivant**, puis **Ajouter des autorisations**.

   Vous êtes renvoyé à la page **Summary** (Résumé) de votre groupe d'utilisateurs, utilisateur ou rôle.

1. Cochez la case en regard de la politique en ligne que vous souhaitez supprimer et choisissez **Supprimer**.

# Politiques gérées déconseillées AWS
<a name="access_policies_managed-deprecated"></a>

Pour simplifier l'attribution des autorisations, AWS fournit des [politiques gérées](access_policies_managed-vs-inline.md), c'est-à-dire des politiques prédéfinies prêtes à être associées à vos utilisateurs, groupes et rôles IAM.

Il est parfois AWS nécessaire d'ajouter une nouvelle autorisation à une politique existante, par exemple lorsqu'un nouveau service est introduit. L'ajout d'une nouvelle autorisation à une politique existante n'impacte aucune des fonctions, pas plus qu'elle ne les supprime.

Toutefois, AWS vous pouvez choisir de créer une *nouvelle* politique lorsque les modifications nécessaires pourraient avoir un impact sur les clients si elles étaient appliquées à une politique existante. Par exemple, la suppression d'autorisations d'une politique existante peut affecter les autorisations d'une entité ou application IAM qui en dépend, ce qui risque de perturber une opération critique.

Par conséquent, lorsqu'une telle modification est requise, AWS crée une toute nouvelle politique avec les modifications requises et la met à la disposition des clients. L'ancienne politique est ensuite marquée comme étant *obsolète*. Pour plus d'informations, consultez la section [Politiques AWS gérées déconseillées](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) dans le Guide de *référence des politiques AWS gérées*.

# Mettez en place des barrières de protection des autorisations à l’aide de périmètres de données
<a name="access_policies_data-perimeters"></a>

Les barrières de protection du périmètre des données sont conçues pour servir de limites permanentes afin de protéger vos données sur un large éventail de comptes et de AWS ressources. Les périmètres de données suivent les pratiques exemplaires de sécurité IAM pour [établir des garde-fous d’autorisation sur plusieurs comptes.](best-practices.md#bp-permissions-guardrails) Ces garde-fous relatifs aux autorisations à l’échelle de l’organisation ne remplacent pas vos contrôles d’accès précis existants. Ils fonctionnent plutôt comme des **contrôles d’accès grossiers** qui aident à améliorer votre politique en matière de sécurité, en garantissant que les utilisateurs, les rôles et les ressources respectent un ensemble de normes de sécurité définies. 

Un périmètre de données est un ensemble de barrières d'autorisation dans votre AWS environnement qui permettent de garantir que seules vos identités fiables accèdent aux ressources fiables des réseaux attendus. 
+ Identités fiables : principaux (rôles ou utilisateurs IAM) de vos AWS comptes et AWS services agissant en votre nom.
+ Ressources fiables : ressources détenues par vos AWS comptes ou par AWS des services agissant en votre nom.
+ Réseaux attendus : vos centres de données sur site et vos clouds privés virtuels (VPCs), ou réseaux de AWS services agissant en votre nom.

**Note**  
Dans certains cas, il se peut que vous ayez besoin d’étendre le périmètre de vos données afin d’inclure également l’accès par vos partenaires commerciaux de confiance. Vous devez prendre en compte tous les modèles d’accès aux données prévus lorsque vous créez une définition des identités de confiance, des ressources de confiance et des réseaux attendus propres à votre entreprise et à votre utilisation des Services AWS.

Les contrôles du périmètre des données doivent être traités comme tout autre contrôle de sécurité dans le cadre du programme de sécurité de l’information et de gestion des risques. Cela signifie que vous devez effectuer une analyse des menaces afin d’identifier les risques potentiels au sein de votre environnement cloud, puis, en fonction de vos propres critères d’acceptation des risques, sélectionner et mettre en œuvre des contrôles de périmètre de données appropriés. Pour mieux orienter l’approche itérative basée sur les risques en matière de mise en œuvre du périmètre des données, vous devez comprendre quels risques de sécurité et quels vecteurs de menace sont pris en compte par les contrôles du périmètre des données, ainsi que vos priorités en matière de sécurité.

## Contrôles du périmètre de données
<a name="access_policies_data-perimeters-controls"></a>

Les contrôles grossiers du périmètre des données vous aident à atteindre six objectifs de sécurité distincts sur trois périmètres de données grâce à la mise en œuvre de différentes combinaisons des [Types de politique](access_policies.md#access_policy-types) et des [clés de condition](reference_policies_condition-keys.md).

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/access_policies_data-perimeters.html)

Vous pouvez considérer les périmètres de données comme la création d’une frontière stricte autour de vos données afin d’empêcher les schémas d’accès involontaires. Bien que les périmètres de données puissent empêcher tout accès involontaire à grande échelle, vous devez tout de même prendre des décisions précises en matière de contrôle d’accès. L’établissement d’un périmètre de données ne diminue en rien la nécessité d’affiner en permanence les autorisations en utilisant des outils tels que l’[analyseur d’accès IAM](what-is-access-analyzer.md) dans le cadre de votre parcours vers le principe du [moindre privilège](best-practices.md#grant-least-privilege).

Pour appliquer des contrôles du périmètre des données aux ressources qui ne sont actuellement pas prises en charge par RCPs, vous pouvez utiliser des politiques basées sur les ressources qui sont directement associées aux ressources. Pour obtenir la liste des services qui prennent en charge RCPs les politiques basées sur les ressources, voir Politiques de [contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) et. [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md)

Pour appliquer les contrôles périmétriques du réseau, nous vous recommandons d’utiliser `aws:VpceOrgID`, `aws:VpceOrgPaths` et `aws:VpceAccount` uniquement si tous les services auxquels vous souhaitez restreindre l’accès sont actuellement pris en charge. L’utilisation de ces clés de condition avec des services non pris en charge peut entraîner des résultats d’autorisation imprévus. Pour connaître la liste des services prenant en charge les clés, consultez [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md). Si vous devez appliquer les contrôles à un plus large éventail de services, envisagez d’utiliser `aws:SourceVpc` et `aws:SourceVpce` à la place.

## Périmètre d’identité
<a name="access_policies_data-perimeters-identity"></a>

Un périmètre d’identité est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que seules les identités de confiance peuvent accéder à vos ressources et que seules ces identités de confiance sont autorisées sur votre réseau. Les identités fiables incluent généralement les principaux (rôles ou utilisateurs) de vos AWS comptes et les AWS services agissant en votre nom. Toutes les autres identités sont considérées comme non fiables et sont bloquées par le périmètre d’identité, à moins qu’une exception explicite ne soit accordée.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre d’identité basés sur votre définition des identités de confiance. Utilisez ces clés dans les politiques de contrôle des ressources pour restreindre l’accès aux ressources, ou dans les [politiques de point de terminaison d’un VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) pour restreindre l’accès à vos réseaux.

### Identités que vous détenez
<a name="data-perimeters-identity-owned-by-you"></a>

Vous pouvez utiliser les clés de condition suivantes pour définir les principes IAM que vous créez et gérez dans votre. Comptes AWS
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid) : vous pouvez utiliser cette clé de condition pour vous assurer que les principaux IAM à l’origine de la requête appartiennent à l’organisation spécifiée dans AWS Organizations.
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths)— Vous pouvez utiliser cette clé de condition pour vous assurer que l'utilisateur IAM, le rôle IAM, l'utilisateur principal AWS STS fédéré, le principal fédéré SAML, le principal fédéré OIDC ou l'auteur de la demande appartiennent à l' Utilisateur racine d'un compte AWS unité organisationnelle (UO) spécifiée dans. AWS Organizations
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) : vous pouvez utiliser cette clé de condition pour garantir que les ressources ne sont accessibles qu’au compte du principal que vous spécifiez dans la politique.

### Identités des AWS services agissant en votre nom
<a name="data-perimeters-identity-owned-by-service"></a>

Vous pouvez utiliser les clés de condition suivantes pour permettre aux AWS services d'utiliser leur propre identité pour accéder à vos ressources lorsqu'ils agissent en votre nom.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) et [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (ou [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) et [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)) : vous pouvez utiliser ces clés de condition pour vous assurer que lorsque les [principaux d’Service AWS](reference_policies_elements_principal.md#principal-services) accèdent à vos ressources, ils ne le font que pour le compte d’une ressource de l’organisation, de l’unité d’organisation ou d’un compte spécifié dans AWS Organizations.

Pour plus d'informations, voir [Établissement d'un périmètre de données sur AWS : Autoriser uniquement les identités fiables à accéder aux données de l'entreprise](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/).

## Périmètre de ressource
<a name="access_policies_data-perimeters-resource"></a>

Un périmètre de ressource est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder qu’aux ressources de confiance et que seules les ressources de confiance sont accessibles depuis votre réseau. Les ressources fiables incluent généralement les ressources détenues par vos AWS comptes ou par AWS des services agissant en votre nom.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre des ressources en fonction de votre définition des ressources de confiance. Utilisez ces clés dans les [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) pour restreindre les ressources accessibles par vos identités, ou dans les [politiques de point de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) pour restreindre les ressources accessibles depuis vos réseaux.

### Ressources qui vous appartiennent
<a name="data-perimeters-resource-owned-by-you"></a>

Vous pouvez utiliser les clés de condition suivantes pour définir les AWS ressources que vous créez et gérez dans votre Comptes AWS.
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid) : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’organisation spécifiée dans AWS Organizations.
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths) : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’unité d’organisation (UO) spécifiée dans AWS Organizations.
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount) : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient au compte spécifié dans Compte AWS.

### Ressources des AWS services agissant en votre nom
<a name="data-perimeters-resource-owned-by-service"></a>

Dans certains cas, vous devrez peut-être autoriser l'accès à des ressources AWS détenues, à des ressources qui n'appartiennent pas à votre organisation et auxquelles ont accès vos mandants ou des AWS services agissant en votre nom. Pour plus d'informations sur ces scénarios, voir [Établissement d'un périmètre de données sur AWS : Autoriser uniquement les ressources fiables de mon organisation](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/).

## Périmètre de réseau
<a name="access_policies_data-perimeters-network"></a>

Un périmètre réseau est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder aux ressources qu’à partir des réseaux attendus et que vos ressources ne sont accessibles qu’à partir des réseaux attendus. Les réseaux attendus incluent généralement vos centres de données sur site, vos clouds privés virtuels (VPCs) et les réseaux de AWS services agissant en votre nom. 

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre de réseau en fonction de votre définition des réseaux attendus. Utilisez ces clés dans les [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) pour restreindre les réseaux à partir desquels vos identités peuvent communiquer, ou dans [les politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) pour restreindre l'accès aux ressources aux réseaux attendus.

### Les réseaux que vous détenez
<a name="data-perimeters-network-owned-by-you"></a>

Vous pouvez utiliser les clés de condition suivantes pour définir les réseaux que vos employés et applications sont censés utiliser pour accéder à vos ressources, telles que la plage d'adresses IP CIDR de votre entreprise et votre VPCs.
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip) : vous pouvez utiliser cette clé de condition pour vous assurer que l’adresse IP de l’émetteur de la requête se situe dans une plage d’adresses IP spécifiée.
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc) : vous pouvez utiliser cette clé de condition pour vous assurer que le point de terminaison du VPC par lequel transite la requête appartient au VPC spécifié.
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce) : vous pouvez utiliser cette clé de condition pour vous assurer que la requête passe par le point de terminaison de VPC spécifié.
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount)— Vous pouvez utiliser cette clé de condition pour vous assurer que les demandes passent par les points de terminaison VPC appartenant au compte spécifié. AWS 
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths) : vous pouvez utiliser cette clé de condition pour vous assurer que les principaux IAM à l’origine de la demande appartiennent à l’unité organisationnelle (UO) spécifiée dans AWS Organizations.
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid) : vous pouvez utiliser cette clé de condition pour vous assurer que les demandes transitent par les points de terminaison d’un VPC appartenant aux comptes de l’organisation spécifiée dans AWS Organizations.

`aws:VpceAccount`, `aws:VpceOrgPaths` et `aws:VpceOrgID` sont particulièrement utiles pour mettre en œuvre des contrôles périmétriques réseau qui se mettent automatiquement à l’échelle en fonction de l’utilisation de vos points de terminaison d’un VPC, sans nécessiter de mise à jour des politiques lorsque vous créez de nouveaux points de terminaison. Pour connaître la liste des Services AWS qui prennent en charge ces clés, consultez [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md).

### Réseaux de AWS services agissant en votre nom
<a name="data-perimeters-network-owned-by-service"></a>

Vous pouvez utiliser les clés de condition suivantes pour autoriser les AWS services à accéder à vos ressources depuis leurs réseaux lorsqu'ils agissent en votre nom.
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice)— Vous pouvez utiliser cette clé de condition pour vous assurer que vous Services AWS pouvez faire des demandes au nom de votre principal utilisateur [Transmission des sessions d'accès](access_forward_access_sessions.md) (FAS).
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice)— Vous pouvez utiliser cette clé de condition pour vous assurer que vous Services AWS pouvez accéder à vos ressources en utilisant[AWS principes de service](reference_policies_elements_principal.md#principal-services).

 Il existe d’autres scénarios dans lesquels vous devez autoriser l’accès aux Services AWS qui accèdent à vos ressources depuis l’extérieur de votre réseau. Pour plus d'informations, voir [Établissement d'un périmètre de données sur AWS : Autoriser l'accès aux données de l'entreprise uniquement à partir des réseaux attendus](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/).

## Ressources utiles sur les périmètres de données
<a name="access_policies_data-perimeters-resources"></a>

Les ressources suivantes peuvent vous aider à en savoir plus sur les périmètres de données au sein d’ AWS.
+ [Périmètres de données activés AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/) : découvrez les périmètres de données, leurs avantages et leurs cas d'utilisation.
+  [Série d'articles de blog : Établissement d'un périmètre de données sur AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) — Ces articles de blog fournissent des conseils prescriptifs sur l'établissement de votre périmètre de données à grande échelle, y compris les principales considérations relatives à la sécurité et à la mise en œuvre.
+  [Exemples de politiques de périmètre de données](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) — Ce GitHub référentiel contient des exemples de politiques qui couvrent certains modèles courants pour vous aider à implémenter un périmètre de données sur AWS.
+ [Data Perimeter Helper](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) : cet outil vous aide à concevoir et à anticiper l’impact de vos contrôles de périmètre de données en analysant les activités d’accès dans vos journaux [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

# Limites d'autorisations pour les entités IAM
<a name="access_policies_boundaries"></a>

AWS prend en charge *les limites d'autorisations* pour les entités IAM (utilisateurs ou rôles). Une limite d'autorisations est une fonctionnalité avancée permettant d'utiliser une politique gérée pour définir les autorisations maximales qu'une politique basée sur l'identité peut accorder à une entité IAM. La limite d'autorisations d'une entité lui permet d'effectuer uniquement les actions autorisées à la fois par ses politiques basées sur l'identité et ses limites d'autorisations.

Pour de plus amples informations sur les types de politiques, veuillez consulter [Types de politique](access_policies.md#access_policy-types).

**Important**  
N'utilisez pas de déclarations de politique basée sur les ressources qui incluent un élément de politique `NotPrincipal` ayant un effet `Deny` sur les utilisateurs IAM ou les rôles auxquels est attachée une politique de limite des autorisations. L'élément `NotPrincipal` ayant un effet `Deny` refusera toujours tout principal IAM auquel est attachée une politique de limite des autorisations, quelles que soient les valeurs spécifiées dans l'élément `NotPrincipal`. Certains utilisateurs ou rôles IAM qui auraient autrement eu accès à la ressource n'y ont donc plus accès. Nous vous recommandons de modifier vos déclarations de politique basée sur les ressources afin d'utiliser l'opérateur de condition [`ArnNotEquals`](reference_policies_elements_condition_operators.md#Conditions_ARN) avec la clé de contexte [`aws:PrincipalArn`](reference_policies_condition-keys.md#condition-keys-principalarn) dans le but de limiter l'accès plutôt que l'élément `NotPrincipal`. Pour en savoir plus sur l'élément `NotPrincipal`, veuillez consulter [AWS Éléments de politique JSON : NotPrincipal](reference_policies_elements_notprincipal.md).

Vous pouvez utiliser une politique AWS gérée ou une politique gérée par le client pour définir les limites d'une entité IAM (utilisateur ou rôle). Cette politique limite le nombre maximum d'autorisations pour l'utilisateur ou le rôle.

Supposons, par exemple, que l'utilisateur IAM nommé `Shirley` soit autorisé à gérer uniquement Amazon S3 CloudWatch, Amazon et Amazon EC2. Pour appliquer cette règle, vous pouvez utiliser la politique suivante afin de définir les autorisations pour l'utilisateur `Shirley` :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Lorsque vous utilisez une politique pour définir la limite d'autorisations d'un utilisateur, elle limite les autorisations de l'utilisateur mais ne fournit pas seule les autorisations. Dans cet exemple, la politique définit les autorisations maximales pour toutes `Shirley` les opérations dans Amazon S3 et Amazon EC2. CloudWatch Shirley ne peut pas exécuter d'opérations dans les autres services, y compris IAM, même si elle dispose d'une politique d'autorisations qui le permet. Par exemple, vous pouvez ajouter la politique suivante à l'utilisateur `Shirley` :

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Cette politique permet de créer un utilisateur dans IAM. Si vous attachez cette politique d'autorisation à l'utilisateur `Shirley` et que Shirley tente de créer un utilisateur, l'opération échoue. Elle échoue car la limite des autorisations n'autorise pas l'opération `iam:CreateUser`. Compte tenu de ces deux politiques, Shirley n'est pas autorisée à effectuer des opérations dans AWS. Vous devez ajouter une politique d'autorisations différente pour autoriser des actions dans d'autres services, tels qu'Amazon S3. Sinon, vous pouvez mettre à jour la limite d'autorisations pour lui permettre de créer un utilisateur dans IAM.

## Évaluation des autorisations effectives avec limites
<a name="access_policies_boundaries-eval-logic"></a>

La limite d'autorisations pour une entité IAM (utilisateur ou rôle) définit le nombre maximum d'autorisations maximum dont peut disposer une entité. Cela peut modifier les autorisations effectives pour cet utilisateur ou rôle. Les autorisations effectives d'une entité correspondent aux autorisations accordées par toutes les politiques affectant l'utilisateur ou le rôle. Au sein d'un compte, les autorisations accordées à une entité peuvent être affectées par les politiques basées sur l'identité, les politiques basées sur les ressources, les limites des autorisations ou les politiques de session AWS Organizations SCPs. Pour de plus amples informations sur les différents types de politiques, veuillez consulter [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).

Si l'un de ces types de politique refuse explicitement l'accès pour une opération, la demande est refusée. Les autorisations accordées à une entité par plusieurs types d'autorisations sont plus complexes. Pour plus de détails sur le mode AWS d'évaluation des politiques, consultez[Logique d'évaluation de politiques](reference_policies_evaluation-logic.md).

**Identity-based policies with boundaries** (Politiques basées sur l'identité avec des limites) : les politiques basées sur l'identité sont des politiques en ligne ou gérées qui sont attachées à un utilisateur, un groupe d'utilisateurs ou un rôle. Les politiques basées sur l'identité accordent une autorisation à l'entité, et les limites d'autorisations limitent ces autorisations. Les autorisations effectives sont une combinaison de ces deux types de politique. Un refus explicite dans l'une ou l'autre de ces stratégies remplace l'autorisation.

![\[Évaluation des stratégies basées sur l'identité et des limites d'autorisations\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/permissions_boundary.png)


**Resource-based policies** (Politiques basées sur les ressources) : les politiques basées sur les ressources contrôlent la façon dont le principal spécifié peut accéder à la ressource à laquelle la politique est attachée.

*Politiques basées sur des ressources pour les utilisateurs IAM*  
Au sein d'un même compte, les politiques basées sur les ressources qui accordent des autorisations à un ARN utilisateur IAM (qui n'est pas une session principale d'utilisateur AWS STS fédérée) ne sont pas limitées par un refus implicite dans une politique basée sur l'identité ou une limite d'autorisation.  

![\[Évaluation d'une politique basée sur les ressources, d'une limite d'autorisations et d'une politique basée sur l'identité\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/EffectivePermissions-rbp-boundary-id.png)


*Politiques basées sur les ressources pour les rôles IAM*  
**Rôle IAM** – Les politiques basées sur les ressources qui accordent des autorisations à un ARN de rôle IAM sont limitées par un rejet implicite dans une limite d'autorisations ou une politique de séance.  
**Séance de rôle IAM** – Au sein d'un même compte, les politiques basées sur les ressources qui accordent des autorisations à un ARN de séance de rôle IAM accordent des autorisations directement à la séance de rôle endossée. Les autorisations accordées directement à une séance ne sont pas limitées par un rejet implicite dans une politique basée sur l'identité, une limite d'autorisations ou une politique de séance. Lorsque vous endossez un rôle et faites une demande, le principal qui fait la demande est l'ARN de séance du rôle IAM et non l'ARN du rôle lui-même.

*Politiques basées sur les ressources pour les sessions principales des AWS STS utilisateurs fédérés*  
**AWS STS sessions d'utilisateur principal fédérées** — Une session d'utilisateur principal AWS STS fédérée est une session créée en appelant. [`GetFederationToken`](id_credentials_temp_request.md#api_getfederationtoken) Lorsqu'un utilisateur fédéré fait une demande, le principal qui effectue la demande est l'ARN d'utilisateur fédéré et non l'ARN de l'utilisateur IAM qui a fédéré. Dans le même compte, les politiques basées sur les ressources accordant des autorisations à un ARN d'utilisateur fédéré accordent des autorisations directement à la séance. Les autorisations accordées directement à une séance ne sont pas limitées par un rejet implicite dans une politique basée sur l'identité, une limite d'autorisations ou une politique de séance.  
Toutefois, si une politique basée sur les ressources accorde l'autorisation à l'ARN de l'utilisateur IAM qui a fédéré, les demandes effectuées par le principal de l'utilisateur AWS STS fédéré pendant la session sont limitées par un refus implicite dans une limite d'autorisation ou une politique de session.

**AWS Organizations SCPs**— SCPs sont appliqués à un tout Compte AWS. Elles limitent les autorisations pour chaque demande faite par un principal dans le compte. Une entité IAM (utilisateur ou rôle) peut effectuer une demande qui est soumise à une politique de contrôle de service, une limite d'autorisations et une politique basée sur l'identité. Dans ce cas, la demande est autorisée uniquement si les trois types de politique l'autorisent. Les autorisations effectives sont la combinaison des trois types de politique. Un refus explicite dans l’une de ces politiques annule l’autorisation.

![\[Évaluation d'une politique de contrôle de service, d'une limite d'autorisations et d'une politique basée sur l'identité\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/EffectivePermissions-scp-boundary-id.png)


Vous pouvez savoir [si votre compte est membre d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account) dans AWS Organizations. Les membres de l'organisation pourraient être affectés par une SCP. Pour afficher ces données à l'aide de la AWS CLI commande ou de l'opération AWS API, vous devez disposer des autorisations nécessaires à l'`organizations:DescribeOrganization`action pour votre AWS Organizations entité. Vous devez disposer d'autorisations supplémentaires pour effectuer l'opération dans la AWS Organizations console. Pour savoir si un SCP refuse l'accès à une demande spécifique ou pour modifier vos autorisations effectives, contactez votre AWS Organizations administrateur.

**Politiques de session** : les politiques de session sont des politiques avancées que vous passez en tant que paramètre lorsque vous programmez afin de créer une session temporaire pour un rôle ou un utilisateur fédéré. Les autorisations pour une session proviennent de l'entité IAM (utilisateur ou rôle) utilisée pour créer la session et de la politique de la session. Les autorisations de politique basée sur l'identité de l'entité sont limitées par la politique de la session et la limite d'autorisations. Les autorisations effectives pour cet ensemble de types de politique sont la combinaison des trois types de politique. Un refus explicite dans l’une de ces politiques annule l’autorisation. Pour de plus amples informations sur les politiques de session, veuillez consulter [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

![\[Évaluation d'une politique de session, d'une limite d'autorisations et d'une politique basée sur l'identité\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Délégation de responsabilité à d'autres utilisateurs à l'aide des limites d'autorisations
<a name="access_policies_boundaries-delegate"></a>

Vous pouvez utiliser des limites d'autorisations pour déléguer à des utilisateurs IAM de votre compte des tâches de gestion d'autorisations, comme la création d'utilisateurs,. Cela permet à d'autres utilisateurs d'exécuter des tâches en votre nom dans une limite d'autorisations spécifique.

Supposons, par exemple, que María soit l'administratrice de la X-Company Compte AWS. Elle souhaite déléguer des tâches de création d'utilisateurs à Zhang. Toutefois, elle doit s'assurer que Zhang crée des utilisateurs qui respectent les règles de l'entreprise suivantes :
+ Les utilisateurs ne peuvent pas utiliser IAM pour créer ou gérer des utilisateurs, groupes, rôles ou politiques.
+ Les utilisateurs se voient refuser l'accès au compartiment `logs` Amazon S3 et ne peuvent pas accéder à l'instance Amazon EC2 `i-1234567890abcdef0`.
+ Les utilisateurs ne peuvent pas supprimer leurs propres politiques de limite.

Pour appliquer ces règles, María exécute les tâches suivantes dont les détails sont inclus ci-dessous :

1. María crée la politique gérée `XCompanyBoundaries` pour utiliser en tant que limite d'autorisations pour tous les nouveaux utilisateurs du compte.

1. María crée la politique gérée `DelegatedUserBoundary` et l'assigne en tant que limite d'autorisations pour Zhang. Maria prend note de l'ARN de son administrateur et l'utilise dans la stratégie pour empêcher Zhang d'y accéder.

1. María crée la politique gérée `DelegatedUserPermissions` et l'attache en tant que limite d'autorisations pour Zhang.

1. María explique à Zhang ses nouvelles responsabilités et limites.

**Tâche 1 :** María doit d'abord créer une politique gérée pour définir la limite pour les nouveaux utilisateurs. María autorise Zhang à donner aux utilisateurs les politiques d'autorisations dont ils ont besoin, mais elle souhaite que ces derniers soient limités. Pour ce faire, elle crée la politique gérée par le client suivante avec le nom `XCompanyBoundaries`. Cette politique effectue les opérations suivantes :
+ Permet aux utilisateurs d'avoir un accès complet à plusieurs services
+ Autorise un accès autonome limité dans la console IAM. Cela signifie qu'ils peuvent changer leur mot de passe après s'être connecté à la console. Ils ne peuvent pas définir leur mot de passe initial. Pour que cela soit possible, ajoutez l'action `"*LoginProfile"` à l'instruction `AllowManageOwnPasswordAndAccessKeys`.
+ Refuse aux utilisateurs l'accès au compartiment des journaux Amazon S3 ou à l'instance Amazon EC2 `i-1234567890abcdef0`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ServiceBoundaries",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*",
                "dynamodb:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

Chaque instruction répond à un objectif distinct :

1. L'`ServiceBoundaries`énoncé de cette politique permet un accès complet aux AWS services spécifiés. Cela signifie que de nouvelles actions de l'utilisateur dans ces services sont uniquement limitées par les politiques d'autorisations qui lui sont attachées.

1. L'instruction `AllowIAMConsoleForCredentials` autorise l'accès pour répertorier tous les utilisateurs IAM. Cet accès est nécessaire pour accéder à la page **Utilisateurs ** dans la AWS Management Console. Il permet également d'afficher les exigences de mot de passe pour le compte, qui sont nécessaires lorsque vous modifiez votre mot de passe.

1. La déclaration `AllowManageOwnPasswordAndAccessKeys` autorise les utilisateurs à gérer uniquement leur propre mot de passe de console et les clés d'accès par programmation. Ceci est important si Zhang ou un autre administrateur attribue à un nouvel utilisateur une politique d'autorisations avec un accès complet à IAM. Dans ce cas, cet utilisateur peut ensuite modifier ses propres autorisations ou celles des autres utilisateurs. Cette instruction évite ce genre de problème.

1. L'instruction `DenyS3Logs` refuse explicitement l'accès au compartiment `logs`.

1. L'instruction `DenyEC2Production` refuse explicitement l'accès à l'instance `i-1234567890abcdef0`.

**Tâche 2 :** María souhaite autoriser Zhang à créer tous les utilisateurs X-Company, mais uniquement avec la limite d'autorisations `XCompanyBoundaries`. Elle crée la politique gérée par le client suivante et la nomme `DelegatedUserBoundary`. Cette politique définit le nombre maximum de permissions dont dispose Zhang.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOrChangeOnlyWithBoundary",
            "Effect": "Allow",
            "Action": [
                "iam:AttachUserPolicy",
                "iam:CreateUser",
                "iam:DeleteUserPolicy",
                "iam:DetachUserPolicy",
                "iam:PutUserPermissionsBoundary",
                "iam:PutUserPolicy"
            ],
            "Resource": "*",
            "Condition": {
               "StringEquals": {
                 "iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"
                }
            }
        },
        {
            "Sid": "CloudWatchAndOtherIAMTasks",
            "Effect": "Allow",
            "Action": [
              "cloudwatch:*",
              "iam:CreateAccessKey",
              "iam:CreateGroup",
              "iam:CreateLoginProfile",
              "iam:CreatePolicy",
              "iam:DeleteGroup",
              "iam:DeletePolicy",
              "iam:DeletePolicyVersion",
              "iam:DeleteUser",
              "iam:GetAccountPasswordPolicy",
              "iam:GetGroup",
              "iam:GetLoginProfile",
              "iam:GetPolicy",
              "iam:GetPolicyVersion",
              "iam:GetRolePolicy",
              "iam:GetUser",
              "iam:GetUserPolicy",
              "iam:ListAccessKeys",
              "iam:ListAttachedRolePolicies",
              "iam:ListAttachedUserPolicies",
              "iam:ListEntitiesForPolicy",
              "iam:ListGroups",
              "iam:ListGroupsForUser",
              "iam:ListMFADevices",
              "iam:ListPolicies",
              "iam:ListPolicyVersions",
              "iam:ListRolePolicies",
              "iam:ListSSHPublicKeys",
              "iam:ListServiceSpecificCredentials",
              "iam:ListSigningCertificates",
              "iam:ListUserPolicies",
              "iam:ListUsers",
              "iam:SetDefaultPolicyVersion",
              "iam:SimulateCustomPolicy",
              "iam:SimulatePrincipalPolicy",
              "iam:UpdateGroup",
              "iam:UpdateLoginProfile",
              "iam:UpdateUser"
            ],
            "NotResource": "arn:aws:iam::123456789012:user/Maria"
        },
        {
            "Sid": "NoBoundaryPolicyEdit",
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:policy/XCompanyBoundaries",
                "arn:aws:iam::123456789012:policy/DelegatedUserBoundary"
            ]
        },
        {
            "Sid": "NoBoundaryUserDelete",
            "Effect": "Deny",
            "Action": "iam:DeleteUserPermissionsBoundary",
            "Resource": "*"
        }
    ]
}
```

------

Chaque instruction répond à un objectif distinct :

1. L'instruction `CreateOrChangeOnlyWithBoundary` autorise Zhang à créer des utilisateurs IAM, mais uniquement s'il utilise la politique `XCompanyBoundaries` permettant de définir la limite d'autorisations. Cette instruction lui permet également de définir la limite d'autorisations pour les utilisateurs existants, mais uniquement à l'aide de cette même politique. Enfin, cette instruction autorise Zhang à gérer des politiques d'autorisations pour les utilisateurs avec cette limite d'autorisations définie.

1. L'instruction `CloudWatchAndOtherIAMTasks` autorise Zhang à exécuter les tâches de gestion d'autres utilisateurs, groupes et politiques. Il possède les autorisations de réinitialiser les mots de passe et de créer des clés d'accès pour tout utilisateur IAM non répertorié dans l’élément de politique `NotResource`. Cela lui permet d'aider les utilisateurs qui rencontrent des problèmes de connexion.

1. L'instruction `NoBoundaryPolicyEdit` refuse l'accès à Zhang pour mettre à jour la politique `XCompanyBoundaries`. Il n'est pas autorisé à modifier une politique utilisée pour définir la limite d'autorisations pour lui-même ou d'autres utilisateurs.

1. L'instruction `NoBoundaryUserDelete` interdit à Zhang de supprimer la limite d'autorisations pour lui-même ou d'autres utilisateurs.

María attribue ensuite la politique `DelegatedUserBoundary` comme [limite d'autorisations](id_users_change-permissions.md#users_change_permissions-set-boundary-console) pour l'utilisateur `Zhang`. 

**Tâche 3 :** María doit créer une politique d'autorisations pour Zhang, car la limite d'autorisations restreint le nombre maximum d'autorisations, mais n'accorde pas à elle seule l'accès. Elle crée la politique suivante et la nomme `DelegatedUserPermissions`. Cette politique définit les opérations que Zhang peut exécuter au sein de la limite définie.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IAM",
            "Effect": "Allow",
            "Action": "iam:*",
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLimited",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetDashboard",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListDashboards",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3BucketContents",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::ZhangBucket"
        }
    ]
}
```

------

Chaque instruction répond à un objectif distinct :

1. L'instruction `IAM` de la politique accorde à Zhang un accès complet à IAM. Toutefois, ses autorisations IAM effectives sont uniquement restreintes par sa limite d'autorisations, car cette dernière autorise uniquement certaines opérations IAM.

1. La `CloudWatchLimited` déclaration permet à Zhang d'effectuer cinq actions dans CloudWatch. Sa limite d'autorisations autorise toutes les actions CloudWatch, de sorte que ses CloudWatch autorisations effectives ne sont limitées que par sa politique d'autorisations.

1. L'instruction `S3BucketContents` autorise Zhang à répertorier le compartiment Amazon S3 `ZhangBucket`. Toutefois, sa limite d'autorisations n'autorise aucune action Amazon S3. Par conséquent, il ne peut pas exécuter d'opérations S3, quelle que soit sa politique d'autorisations.
**Note**  
Les politiques de Zhang lui permettent de créer un utilisateur qui peut alors accéder à des ressources Amazon S3 auxquelles il ne peut pas accéder. En déléguant ces actions administratives, Maria approuve l'accès de Zhang à Amazon S3. 

María assigne ensuite la politique `DelegatedUserPermissions` en tant que politique d'autorisations pour l'utilisateur `Zhang`. 

**Tâche 4 :** Elle explique à Zhang comment créer un nouvel utilisateur. Elle lui indique qu'il peut créer de nouveaux utilisateurs avec les autorisations dont il a besoin, mais il doit leur assigner la politique `XCompanyBoundaries` en tant que limite d'autorisations.

Zhang exécute les tâches suivantes :

1. Zhang crée un utilisateur avec le AWS Management Console. Il saisit le nom d'utilisateur `Nikhil` et accorde à l'utilisateur l'accès à la console. Il décoche la case en regard de **Requires password reset** (Réinitialisation du mot de passe requise), car les politiques ci-dessus permettent à Zhang de modifier son mot de passe uniquement après s'être connecté à la console IAM.

1. Sur la page **Définir les autorisations**, Zhang choisit les politiques **IAMFulld'accès et d'**ReadOnlyAccessautorisations **Amazon S3** qui permettent à Nikhil de faire son travail. 

1. Zhang ignore la section **Set permissions boundary (Définir une limite d'autorisations)**, oubliant ainsi les instructions de María.

1. Zhang examine les détails de l'utilisateur et choisit **Créer un utilisateur**.

   L'opération échoue et l'accès est refusé. La limite d'autorisations `DelegatedUserBoundary` de Zhang exige que tous les utilisateurs qu'il crée utilisent la politique `XCompanyBoundaries` en tant que limite d'autorisations.

1. Zhang revient à la page précédente. Dans la section **Set permissions boundary (Définir une limite d'autorisations)**, il choisit la politique `XCompanyBoundaries`. 

1. Zhang examine les détails de l'utilisateur et choisit **Créer un utilisateur**.

   L'utilisateur est créé. 

Lorsque Nikhil se connecte, il accède à IAM et Amazon S3, à l'exception des opérations refusées par la limite d'autorisations. Par exemple, il peut modifier son propre mot de passe dans IAM, mais ne peut pas créer d'autre utilisateur ou modifier ses politiques. Nikhil a un accès en lecture seule à Amazon S3.

Si une personne ajoute au compartiment `logs` une politique basée sur les ressources qui autorise Nikhil à placer un objet dans le compartiment, il ne peut toujours pas accéder au compartiment. En effet, toutes les actions sur le compartiment `logs` sont explicitement refusées par sa limite d'autorisations. Un refus explicite dans n'importe quel type de politique se traduit par le refus d'une demande. Toutefois, si une politique basée sur les ressources attachée à un secret Secrets Manager permet à Nikhil d'effectuer l'action `secretsmanager:GetSecretValue`, Nikhil peut récupérer et déchiffrer le secret. En effet, les opérations Secrets Manager ne sont pas explicitement refusées par sa limite d'autorisations et les conditions de refus implicite dans les limites d'autorisations ne limitent pas les politiques basées sur les ressources.

# Politiques basées sur l'identité et Politiques basées sur une ressource
<a name="access_policies_identity-vs-resource"></a>

Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. Lorsque vous créez une politique d'autorisations pour limiter l'accès à une ressource, vous pouvez choisir une *politique basée sur l'identité* ou une *politique basée sur les ressources*.

Les **politiques basées sur une identité** sont attachées à un utilisateur, un groupe ou un rôle IAM. Ces politiques vous permettent de spécifier ce que peut faire cette identité (ses autorisations). Par exemple, vous pouvez attacher la politique à l'utilisateur IAM nommé John, en indiquant qu'il est autorisé à effectuer l'action Amazon EC2 `RunInstances`. La politique peut aussi indiquer que John est autorisé à extraire des éléments d'une table Amazon DynamoDB nommée `MyCompany`. Vous pouvez également autoriser John à gérer ses propres informations d'identification de sécurité IAM. Les politiques basées sur une identité peuvent être [gérées ou en ligne](access_policies_managed-vs-inline.md).

**Les politiques basées sur les ressources** sont attachées à une ressource. Par exemple, vous pouvez attacher des politiques basées sur les ressources à des compartiments Amazon S3, des files d’attente Amazon SQS, des points de terminaison de VPC, des clés de chiffrement AWS Key Management Service et des flux et tables Amazon DynamoDB. Pour obtenir la liste des services qui prennent en charge les politiques basées sur une ressource, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md).

Avec les politiques basées sur une ressource, vous pouvez spécifier qui a accès à la ressource et quelles actions peuvent être exécutées. Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, consultez [Qu'est-ce qu'IAM Access Analyzer ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html). Les autorisations basées sur une ressource sont en ligne uniquement, pas gérées.

**Note**  
Les politiques *basées sur les ressources* diffèrent des autorisations *de niveau ressource*. Vous pouvez attacher directement à une ressource les politiques basées sur les ressources, comme décrit dans cette rubrique. Les autorisations au niveau des ressources font référence à la capacité à utiliser [ARNs](reference_identifiers.md#identifiers-arns)pour spécifier des ressources individuelles dans une politique. Les politiques basées sur les ressources ne sont prises en charge que par certains AWS services. Pour obtenir la liste des services qui prennent en charge les politiques basées sur les ressources et les autorisations de niveau ressource, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md).

Pour découvrir comment les politiques basées sur l'identité et les politiques basées sur les ressources interagissent dans un même compte, veuillez consulter [Évaluation des politiques pour les demandes au sein d’un même compte](reference_policies_evaluation-logic_policy-eval-basics.md).

Pour découvrir comment les politiques interagissent entre comptes, veuillez consulter [Logique d’évaluation des politiques intercomptes](reference_policies_evaluation-logic-cross-account.md).

Pour mieux comprendre ces concepts, voir la figure suivante. L'administrateur des `123456789012` politiques basées sur l'identité *attachée au compte* pour les utilisateurs `John`, `Carlos` et `Mary`. Certaines actions de ces politiques peuvent être effectuées sur des ressources spécifiques. Par exemple, l'utilisateur `John` peut effectuer certaines actions sur `Resource X`. Il s'agit d'une *autorisation au niveau ressource* dans une politique basée sur une identité. L'administrateur a également ajouté les *politiques basées sur les ressources* pour `Resource X`, `Resource Y` et `Resource Z`. Les politiques basées sur les ressources vous permettent de spécifier qui peut accéder à cette ressource. Par exemple, la politique basée sur les ressources sur `Resource X` accorde aux utilisateurs `John` et `Mary` l'accès en lecture à la ressource.

![\[Politiques basées sur les ressources et politiques basées sur l'identité\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)


L'exemple de compte `123456789012` autorise les utilisateurs suivants à exécuter les actions répertoriées :
+ **John** : John peut exécuter les actions d’affichage et de lecture sur `Resource X`. Cette autorisation lui est accordée par la politique basée sur l'identité sur son utilisateur et par la politique basée sur les ressources sur `Resource X`.
+ **Carlos** : Carlos peut effectuer des actions d’affichage, de lecture et d’écriture sur `Resource Y`, mais se voit refuser l’accès à `Resource Z`. La politique basée sur l'identité sur Carlos lui permet d'effectuer les actions d'affichage et de lecture sur `Resource Y`. La politique basée sur la ressource `Resource Y` lui accorde également les autorisations d'écriture. Cependant, même si sa politique basée sur les identités lui permet l'accès à `Resource Z`, la politique basée sur les ressources `Resource Z` lui refuse l'accès. Un `Deny` explicite remplace une `Allow` et l'accès à `Resource Z` est refusé. Pour de plus amples informations, veuillez consulter [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md). 
+ **Mary** : Mary peut exécuter les opérations d’affichage, de lecture et d’écriture sur `Resource X`, `Resource Y` et `Resource Z`. Sa politique basée sur les identités lui permet plus d'actions sur plus de ressources que les politiques basées sur les ressources, mais aucune d'elles ne lui refuse l'accès.
+ **Zhang** : Zhang dispose d’un accès complet à `Resource Z`. Zhang n'a pas de politiques basées sur l'identité, mais la politique basée sur les `Resource Z` ressources l'autorise un accès complet à la ressource. Zhang peut également effectuer les actions List (Liste) et Read (Lire) sur `Resource Y`.

Les politiques basées sur l'identité et les politiques basées sur les ressource sont les deux politiques d'autorisations et sont évaluées ensemble. Pour une demande à laquelle seules les politiques d'autorisation s'appliquent, AWS vérifiez d'abord toutes les politiques pour un`Deny`. Le cas échéant, la demande est refusée. Ensuite, AWS vérifie chaque `Allow`. Si au moins une instruction de politique autorise l'action dans la demande, la demande est autorisée. Il n'est pas important que l'`Allow` soit dans la politique basée sur les identités ou dans celle basée sur les ressources.

**Important**  
Cette logique s'applique uniquement lorsque la demande est effectuée au sein d'un même Compte AWS. Pour les demandes effectuées à partir d'un compte vers un autre, le demandeur `Account A` doit avoir une politique basée sur une identité qui leur permet d'adresser une demande à la ressource dans `Account B`. En outre, la politique basée sur les ressources dans `Account B` doivent autoriser le demandeur dans `Account A` à accéder à la ressource. Il doit y avoir des politiques dans les deux comptes qui autorisent l'opération, sinon la demande échoue. Pour plus d'informations sur l'utilisation des politiques basées sur une ressource pour l'accès inter-compte, consultez [Accès intercompte aux ressources dans IAM](access_policies-cross-account-resource-access.md).

Un utilisateur qui dispose d'autorisations spécifiques peut demander une ressource à laquelle une politique d'autorisation est attachée. Dans ce cas, AWS évalue les deux ensembles d'autorisations pour déterminer s'il convient d'accorder l'accès à la ressource. Pour plus d'informations sur la manière dont les politiques sont évaluées, consultez [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md). 

**Note**  
Amazon S3 prend en charge les politiques basées sur l'identité et les politiques basées sur les ressources (appelées *politiques de compartiment*). En outre, Amazon S3 prend en charge un mécanisme d'autorisation appelé * liste de contrôle d'accès (ACL)* qui est indépendant des politiques et des autorisations IAM. Vous pouvez utiliser les politiques IAM en combinaison avec Amazon S3 ACLs. Pour plus d’informations, veuillez consulter [contrôle d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) dans le *guide de l'utilisateur du service de stockage simple Amazon*. 

# Contrôlez l'accès aux AWS ressources à l'aide de politiques
<a name="access_controlling"></a>

Vous pouvez utiliser une politique pour contrôler l'accès aux ressources au sein d'IAM ou de la totalité d' AWS entre elles.

Pour utiliser une [politique visant](access_policies.md) à contrôler l'accès AWS, vous devez comprendre comment AWS octroyer l'accès. AWS est composé de collections de *ressources*. Un utilisateur IAM est une ressource. Un compartiment Amazon S3 est une ressource. Lorsque vous utilisez l' AWS API, le AWS CLI, ou le AWS Management Console pour effectuer une opération (telle que la création d'un utilisateur), vous envoyez une *demande* pour cette opération. Votre demande spécifie une action, une ressource, une *entité du principal* (utilisateur ou rôle), un *compte du principal* et toutes les informations nécessaires relatives à la demande. Toutes ces informations fournissent le *contexte*.

AWS vérifie ensuite que vous (le principal) êtes authentifié (connecté) et autorisé (autorisé) à effectuer l'action spécifiée sur la ressource spécifiée. Lors de l'autorisation, AWS vérifie toutes les politiques qui s'appliquent au contexte de votre demande. La plupart des politiques sont stockées AWS sous forme de [documents JSON](access_policies.md#access_policies-json) et spécifient les autorisations pour les entités principales. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).

AWS autorise la demande uniquement si chaque partie de votre demande est autorisée par les politiques. Pour afficher un schéma de ce processus, reportez-vous à [Fonctionnement de IAM](intro-structure.md). Pour plus de détails sur AWS la manière de déterminer si une demande est autorisée, consultez[Logique d'évaluation de politiques](reference_policies_evaluation-logic.md). 

Lorsque vous créez une politique IAM, vous pouvez contrôler l'accès aux éléments suivants :
+ **[Entités du principal](#access_controlling-principals)** – Contrôler ce que l'individu à l'origine de la requête (le [principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)) est autorisé à faire. 
+ **[Identités IAM](#access_controlling-identities)** : contrôlez à quelles identités IAM (groupes d’utilisateurs, utilisateurs et rôles) il est possible d’accéder et comment y accéder.
+ **[IAM Policies](#access_controlling-policies)** (Politiques IAM) : contrôlez qui peut créer, modifier et supprimer les politiques gérées par les clients, et qui peut attacher et détacher toutes les politiques gérées.
+ **[Ressources AWS](#access_controlling-resources)** : contrôlez qui a accès aux ressources à l’aide d’une politique basée sur les identités ou sur les ressources.
+ **[AWS Accounts](#access_controlling-principal-accounts)** (Comptes) : contrôle si une requête est autorisée uniquement pour les membres d'un compte spécifique.

Les politiques vous permettent de spécifier qui a accès aux AWS ressources et quelles actions ils peuvent effectuer sur ces ressources. Chaque utilisateur IAM démarre sans autorisation. En d'autres termes, par défaut, les utilisateurs ne peuvent rien faire, pas même afficher leurs propres clés d'accès. Pour autoriser un utilisateur à effectuer une action, vous pouvez ajouter l'autorisation appropriée pour l'utilisateur (c'est-à-dire attacher une politique à celui-ci). Vous pouvez également ajouter l'utilisateur à un groupe d'utilisateurs disposant de l'autorisation prévue.

Par exemple, vous pourriez accorder à un utilisateur l'autorisation d'afficher ses propres clés d'accès. Vous pourriez également étendre cette autorisation et permettre également à chaque utilisateur de créer, mettre à jour et la supprimer ses propres clés. 

Lorsque vous accordez des autorisations à un groupe d'utilisateurs, tous les utilisateurs de ce groupe obtiennent ces autorisations. Par exemple, vous pouvez autoriser le groupe d'utilisateurs Administrateurs à effectuer n'importe quelle action IAM sur n'importe quelle Compte AWS ressource. Un autre exemple : vous pouvez donner au groupe d'utilisateurs Managers (Gestionnaires) l'autorisation de décrire les instances Amazon EC2 de l' Compte AWS.

Pour de plus amples informations sur la façon de déléguer des autorisations de base à vos utilisateurs, groupes IAM et rôles, consultez [Autorisations requises pour accéder aux autres ressources IAM](access_permissions-required.md). Pour obtenir des exemples supplémentaires de politiques illustrant des autorisations de base, consultez [Exemples de politiques de gestion de ressources IAM](id_credentials_delegate-permissions_examples.md).

## Contrôle de l'accès pour les entités du principal
<a name="access_controlling-principals"></a>

Vous pouvez utiliser des politiques pour contrôler ce que la personne à l'origine de la demande (le principal) est autorisée à effectuer. Pour ce faire, vous devez attacher à l'identité de cette personne une politique basée sur l'identité (utilisateur, groupe d'utilisateurs ou rôle). Vous pouvez également utiliser une [limite d'autorisations](access_policies_boundaries.md) pour définir les autorisations maximales qu'une entité (utilisateur ou rôle) peut avoir.

Supposons, par exemple, que vous souhaitiez que l'utilisateur Zhang Wei ait un accès complet à Amazon DynamoDB CloudWatch, Amazon EC2 et Amazon S3. Vous pouvez créer deux politiques différentes pour pouvoir les diviser plus tard si vous avez besoin d'un ensemble d'autorisations pour un autre utilisateur. Vous pouvez également regrouper les deux autorisations dans une seule politique, puis associer cette dernière à l'utilisateur IAM nommé Zhang Wei. Vous pouvez aussi attacher une politique à un groupe d'utilisateurs auquel Zhang appartient, ou à un rôle que Zhang peut endosser. Ainsi, lorsque Zhang consulte le contenu d'un compartiment S3, ses demandes sont autorisées. S'il tente de créer un nouvel utilisateur IAM, sa demande est rejetée car il ne dispose pas de l'autorisation appropriée. 

Vous pouvez utiliser une limite de permissions sur Zhang pour veiller à ce qu'il n'ait jamais accès au compartiment S3 `amzn-s3-demo-bucket1`. Pour ce faire, déterminez le nombre *maximum* d'autorisations dont vous souhaitez que Zhang dispose. Dans ce cas, vous pouvez contrôler ses actions à l'aide de ses politiques d'autorisations. Ici, vous veillez simplement à ce qu'il n'accède pas au compartiment confidentiel. Vous utilisez donc la politique suivante pour définir les limites de Zhang afin d'autoriser toutes les AWS actions pour Amazon S3 et quelques autres services, mais de refuser l'accès au compartiment `amzn-s3-demo-bucket1` S3. Étant donné que la limite d'autorisations ne permet pas tous les actions IAM, elle empêche Zhang de supprimer sa limite (ou celle d'une autre personne).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsBoundarySomeServices",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*",
                "dynamodb:*",
                "ec2:*",
                "s3:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsBoundaryNoConfidentialBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}
```

------

Lorsque vous attribuez une telle politique à un utilisateur en tant que limite d'autorisations, n'oubliez pas qu'elle n'accorde aucune autorisation. Elle définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM. Pour plus d'informations sur les limites d'autorisations, consultez [Limites d'autorisations pour les entités IAM](access_policies_boundaries.md).

Pour obtenir des informations détaillées sur les procédures mentionnées précédemment, reportez-vous aux ressources suivantes :
+ Pour en savoir plus sur la création d'une politique IAM susceptible d'être attachée à un principal, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).
+ Pour apprendre à attacher une politique IAM à un principal, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).
+ Pour consulter un exemple de politique d'octroi d'un accès total à EC2, reportez-vous à [Amazon EC2 : autorise l'accès EC2 complet dans une région spécifique, par programmation et dans la console](reference_policies_examples_ec2_region.md).
+ Pour autoriser un accès en lecture seule à un compartiment S3, utilisez les deux premières instructions de l'exemple de politique suivant : [Amazon S3 : autorise l'accès en lecture et en écriture aux objets d'un compartiment S3, par programmation et dans la console](reference_policies_examples_s3_rw-bucket-console.md).
+ Pour consulter un exemple de politique permettant aux utilisateurs de définir leurs informations d'identification (leur mot de passe de console, leurs clés d'accès par programmation ou leurs dispositifs MFA, par exemple), veuillez consulter [AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage.md).

## Contrôle de l'accès aux identités
<a name="access_controlling-identities"></a>

Vous pouvez utiliser des politiques IAM pour contrôler ce que vos utilisateurs peuvent faire à une identité en créant une politique que vous attachez à tous les utilisateurs via un groupe d'utilisateurs. Pour cela, créez une politique qui limite les opérations susceptibles d'être effectuées sur une identité ou les autorisations d'accès.

Par exemple, vous pouvez créer un groupe d'utilisateurs nommé **AllUsers**, puis l'associer à tous les utilisateurs. Lorsque vous créez le groupe d'utilisateurs, vous pouvez donner à tous vos utilisateurs l'accès à la définition de leurs informations d'identification comme décrit dans la section précédente. Vous pouvez ensuite créer une politique qui interdit l'accès en modification du groupe d'utilisateurs, sauf si le nom d'utilisateur est inclus dans la condition de la politique. Mais cette partie de la politique interdit uniquement l'accès à tous, à l'exception des utilisateurs répertoriés. Vous devez également inclure les autorisations visant à permettre toutes les actions de gestion de groupe d'utilisateurs pour toutes les personnes du groupe. Enfin, vous attachez cette politique au groupe d'utilisateurs de façon à ce qu'elle soit appliquée à tous les utilisateurs. De cette façon, lorsqu'un utilisateur non spécifié dans la politique tente d'apporter des modifications au groupe d'utilisateurs, la demande est refusée. 

**Pour créer cette politique avec l'éditeur visuel**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques). 

   Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Get started (Mise en route)**.

1. Choisissez **Create Policy** (Créer une politique).

1. Dans la section **Éditeur de politiques**, choisissez l'option **Visuel**.

1. Dans **Sélectionner un service**, choisissez **IAM**.

1. Dans **Actions autorisées**, tapez **group** dans la zone de recherche. L'éditeur visuel affiche toutes les actions IAM qui contiennent le mot `group`. Sélectionnez toutes les cases à cocher.

1. Choisissez **Ressources** pour spécifier les ressources de votre politique. En fonction des actions que vous avez choisies, vous devriez voir les types de ressources **groupe** et **utilisateur**.
   + **groupe** — Choisissez **Ajouter ARNs**. Pour **Ressource dans**, sélectionnez l'option **Tout compte**. Cochez la case **Tout nom de groupe avec chemin**, puis saisissez le nom du groupe d’utilisateurs **AllUsers**. Choisissez ensuite **Ajouter ARNs**.
   + **utilisateur** : cochez la case en regard de **N’importe quel/quelle dans ce compte**.

   Une des actions que vous avez choisies, `ListGroups`, ne prend pas en charge l'utilisation de ressources spécifiques. Vous n'avez pas besoin de choisir **Toutes les ressources** pour cette action. Lorsque vous enregistrez votre politique ou que vous l'affichez dans l'éditeur **JSON**, vous pouvez voir que IAM crée automatiquement un nouveau bloc d'autorisation qui accorde à cette action une autorisation sur toutes les ressources.

1. Pour ajouter un autre bloc d'autorisation, choisissez **Ajouter d'autres autorisations**.

1. Choisissez **Sélectionner un service**, puis **IAM**.

1. Choisissez **Actions autorisées**, puis **Basculer pour refuser les autorisations**. Si vous procédez ainsi, l'ensemble du bloc est utilisé pour refuser des autorisations.

1. Dans la zone de recherche, saisissez **group**. L'éditeur visuel affiche toutes les actions IAM qui contiennent le mot `group`. Activez les cases à cocher en regard des actions suivantes :
   + **CreateGroup**
   + **DeleteGroup**
   + **RemoveUserFromGroup**
   + **AttachGroupPolicy**
   + **DeleteGroupPolicy**
   + **DetachGroupPolicy**
   + **PutGroupPolicy**
   + **UpdateGroup**

1. Choisissez **Ressources** pour spécifier les ressources de votre politique. En fonction des actions que vous avez choisies, vous devriez voir le type de ressource **group**. Choisissez **Ajouter ARNs**. Pour **Ressource dans**, sélectionnez l'option **Tout compte**. Pour **Tout nom de groupe avec chemin**, tapez le nom du groupe d'utilisateurs **AllUsers**. Choisissez ensuite **Ajouter ARNs**.

1. Choisissez **Demander des conditions – *facultatif***, puis **Ajouter une autre condition**. Remplissez le formulaire avec les valeurs suivantes :
   + **Clé de condition** : choisissez **aws:username**
   + **Qualifier** (Qualificateur) : sélectionnez **Default** (Valeur par défaut)
   + **Opérateur** — Choisissez **StringNotEquals**
   + **Valeur** : tapez **srodriguez**, puis choisissez **Ajouter** pour ajouter une autre valeur. Tapez **mjackson**, puis choisissez **Ajouter** pour ajouter une autre valeur. Tapez **adesai**, puis choisissez **Ajouter une condition**.

   Grâce à cette condition, l'accès est refusé aux actions spécifiées de gestion du groupe d'utilisateurs lorsque l'utilisateur à l'origine de l'action n'est pas inclus dans la liste. Dans la mesure où cette option refuse explicitement l'autorisation, elle remplace le bloc précédent qui a autorisé les utilisateurs à demander les actions. Les utilisateurs de la liste ne se voient pas refuser l'accès et ils sont autorisés dans le premier bloc d'autorisation, afin qu'ils puissent entièrement gérer le groupe d'utilisateurs.

1. Lorsque vous avez terminé, choisissez **Next**.
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'option éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Sur la page **Vérifier et créer**, pour le **Nom de la politique**, tapez **LimitAllUserGroupManagement**. Pour la **Description**, saisissez **Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group**. Vérifiez les **Autorisations définies dans cette politique** pour vous assurer que vous les avez accordées comme prévu. Ensuite, choisissez **Créer une politique** pour enregistrer votre nouvelle politique.

1. Attachez la politique à votre groupe d'utilisateurs. Pour plus d'informations, veuillez consulter [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).

Vous pouvez aussi créer la même politique à l'aide de cet exemple de document de politique JSON. Pour afficher cette politique JSON, veuillez consulter [IAM : autorise des utilisateurs spécifiques à gérer un groupe par programmation et dans la console](reference_policies_examples_iam_users-manage-group.md). Pour obtenir des instructions détaillées sur la création d'une politique à l'aide d'un document JSON, veuillez consulter [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).

## Contrôle de l'accès aux politiques
<a name="access_controlling-policies"></a>

Vous pouvez contrôler la manière dont vos utilisateurs peuvent appliquer les politiques AWS gérées. Pour cela, attachez cette politique à tous vos utilisateurs. Idéalement, vous pouvez le faire en utilisant un groupe d'utilisateurs.

Par exemple, vous pouvez créer une politique qui permet aux utilisateurs d'associer uniquement [IAMUserChangePassword](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/IAMUserChangePassword)les politiques [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/PowerUserAccess) AWS gérées à un nouvel utilisateur, groupe d'utilisateurs ou rôle IAM.

Pour les politiques gérées par les clients, vous pouvez contrôler qui peut les créer, les mettre à jour et les supprimer. Vous pouvez contrôler qui peut attacher et détacher les politiques vers et depuis des entités de principal (groupes, utilisateurs et rôles IAM). Vous pouvez également contrôler quelles politiques peuvent être attachées ou détachées de ces entités.

Par exemple, vous pouvez autoriser un administrateur de compte à créer, mettre à jour et supprimer des politiques. Ensuite, vous accordez des autorisations à un responsable d'équipe ou un autre administrateur disposant de droits limités afin de lui permettre d'attacher et de détacher ces politiques des entités du principal gérées par l'administrateur doté de droits limités.

Pour de plus amples informations, veuillez consulter les ressources suivantes :
+ Pour en savoir plus sur la création d'une politique IAM susceptible d'être attachée à un principal, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).
+ Pour apprendre à attacher une politique IAM à un principal, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).
+ Pour consulter un exemple de politique permettant de limiter l'utilisation des politiques gérées, reportez-vous à [IAM : limite les politiques gérées pouvant être appliquées à un utilisateur, groupe ou rôle IAM](reference_policies_examples_iam_limit-managed.md).

### Contrôle des autorisations pour la création, mise à jour et suppression de politiques gérées par le client
<a name="policies-controlling-access-create-update-delete"></a>

Vous pouvez utiliser des [politiques IAM](access_policies.md) pour contrôler qui est autorisé à créer, mettre à jour et supprimer les politiques gérées par le client dans votre Compte AWS. La liste suivante répertorie les opérations d'API ayant un lien direct avec la création, la mise à jour, la suppression et la gestion des politiques ou versions de politiques : 
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

Les opérations d'API ci-dessus correspondent à des actions que vous pouvez autoriser ou refuser autrement dit, des autorisations que vous pouvez accorder à l'aide d'une politique IAM. 

Examinons l'exemple de politique suivant. Il autorise un utilisateur à créer, mettre à jour (autrement dit, créer une version de politique), supprimer et définir une version par défaut pour toutes les politiques gérées par le client dans l' Compte AWS. Cette politique permet également à l'utilisateur d'obtenir des politiques ou d'en afficher la liste. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Exemple de politique qui autorise la création, mise à jour, suppression, obtention et définition de la version par défaut pour toutes les politiques**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:CreatePolicy",
      "iam:CreatePolicyVersion",
      "iam:DeletePolicy",
      "iam:DeletePolicyVersion",
      "iam:GetPolicy",
      "iam:GetPolicyVersion",
      "iam:ListPolicies",
      "iam:ListPolicyVersions",
      "iam:SetDefaultPolicyVersion"
    ],
    "Resource": "*"
  }
}
```

Vous pouvez créer des politiques qui limitent l'utilisation de ces opérations d'API aux seules politiques gérées que vous spécifiez. Par exemple, il est possible d'autoriser un utilisateur à définir la version par défaut et supprimer des versions de politique, mais uniquement pour certaines politiques gérées par le client. Pour ce faire, vous spécifiez l'ARN de la politique dans l'élément `Resource` de la politique qui accorde les autorisations. 

L'exemple suivant illustre une politique qui autorise un utilisateur à supprimer des versions de politique et à définir la version par défaut. Mais ces actions sont uniquement autorisées pour les politiques gérées par le client comportant le chemin/TEAM-A/. L'ARN de la politique gérée par le client est spécifié dans l'élément `Resource` de la politique. Dans cet exemple, l'ARN inclut un chemin d'accès et un caractère générique et, par conséquent, correspond à toutes les politiques gérées par le client qui incluent le chemin /TEAM-A/. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).

Pour de plus amples informations sur l'utilisation de chemins dans les noms de politiques gérées par le client, veuillez consulter [Noms conviviaux et chemins](reference_identifiers.md#identifiers-friendly-names). 

**Example Exemple de politique qui autorise la suppression de versions de politiques et la définition de la version par défaut pour des politiques spécifiques uniquement**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:DeletePolicyVersion",
            "iam:SetDefaultPolicyVersion"
        ],
        "Resource": "arn:aws:iam::111122223333:policy/TEAM-A/*"
    }
}
```

### Contrôle des autorisations pour attacher et détacher des politiques gérées
<a name="policies-controlling-access-attach-detach"></a>

Vous pouvez également utiliser des politiques IAM pour n'autoriser les utilisateurs qu'à utiliser des politiques gérées spécifiques. En effet, vous pouvez contrôler les autorisations qu'un utilisateur est autorisé à accorder à d'autres entités du principal. 

La liste suivante répertorie les opérations d'API utilisées pour attacher et détacher des politiques gérées d'entités du principal :
+  [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)

Vous pouvez créer des politiques qui limitent l'utilisation de ces opérations d'API afin d'affecter uniquement les entités and/or principales des politiques gérées spécifiques que vous spécifiez. Par exemple, il est possible d'autoriser un utilisateur à attacher des politiques gérées, mais uniquement celles que vous spécifiez. Ou, il est possible d'autoriser un utilisateur à attacher des politiques gérées, mais uniquement aux entités du principal que vous spécifiez. 

L’exemple suivant illustre une politique qui autorise un utilisateur à attacher des politiques gérées aux groupes et rôles IAM comportant le chemin /TEAM-A/ uniquement. Le groupe d'utilisateurs et le rôle ARNs sont spécifiés dans l'`Resource`élément de la politique. (Dans cet exemple, ils ARNs incluent un chemin et un caractère générique et correspondent ainsi à tous les groupes et rôles IAM qui incluent le chemin /TEAM-A/). Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Exemple de politique qui autorise l'utilisateur à attacher des politiques gérées à des groupes d'utilisateurs ou rôles spécifiques uniquement**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ]
    }
}
```

Vous pouvez limiter encore davantage les actions de l'exemple précédent, de manière à n'affecter que des politiques spécifiques. En d'autres termes, vous pouvez contrôler les autorisations qu'un utilisateur est autorisé à attacher à d'autres entités du principal, en ajoutant une condition à la politique. 

Dans l'exemple suivant, la condition garantit que les autorisations `AttachGroupPolicy` et `AttachRolePolicy` sont octroyées uniquement si la politique devant être attachée correspond à l'une des politiques spécifiées. La condition utilise la [clé de condition](reference_policies_elements_condition.md) `iam:PolicyARN` pour déterminer la ou les politiques qui peuvent être attachées. L'exemple de politique suivant développe l'exemple précédent. Il permet à un utilisateur de n'attacher que les politiques gérées qui comportent le chemin /TEAM-A/ aux seuls groupes et rôles IAM qui comportent le chemin /TEAM-A/. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ],
        "Condition": {
            "ArnLike": {
                "iam:PolicyARN": "arn:aws:iam::111122223333:policy/TEAM-A/*"
            }
        }
    }
}
```

------

Cette politique utilise l'opérateur de condition `ArnLike`, mais vous pouvez également utiliser l'opérateur de condition `ArnEquals` car ces deux opérateurs de condition se comportent de manière identique. Pour de plus amples informations sur `ArnLike` et `ArnEquals`, veuillez consulter [Opérateurs de condition d'Amazon Resource Name (ARN)](reference_policies_elements_condition_operators.md#Conditions_ARN) dans la section *Types de conditions* des *Références des éléments de politique*. 

Par exemple, vous pouvez limiter l'utilisation de ces actions aux politiques gérées que vous spécifiez. Pour ce faire, vous spécifiez l'ARN de la politique dans l'élément `Condition` de la politique qui accorde les autorisations. Par exemple, pour spécifier l'ARN d'une politique gérée par le client :

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"}
}
```

Vous pouvez également spécifier l'ARN d'une stratégie AWS gérée dans l'`Condition`élément d'une stratégie. L'ARN d'une politique AWS gérée utilise l'alias spécial contenu `aws` dans l'ARN de la politique au lieu d'un identifiant de compte, comme dans cet exemple :

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"}
}
```

## Contrôle de l'accès aux ressources
<a name="access_controlling-resources"></a>

Vous pouvez contrôler l'accès aux ressources à l'aide d'une politique basée sur les identités ou sur les ressources. Dans le cadre d'une politique basée sur les identités, vous attachez la politique à une identité et vous spécifiez à quelles ressources cette identité peut accéder. Dans le cadre d'une politique basée sur les ressources, vous attachez une politique à la ressource que vous souhaitez contrôler. Dans la politique, vous spécifiez quels principaux peuvent accéder à cette ressource. Pour de plus amples informations sur les deux types de stratégie, veuillez consulter [Politiques basées sur l'identité et Politiques basées sur une ressource](access_policies_identity-vs-resource.md).

Pour de plus amples informations, veuillez consulter les ressources suivantes :
+ Pour en savoir plus sur la création d'une politique IAM susceptible d'être attachée à un principal, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).
+ Pour apprendre à attacher une politique IAM à un principal, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).
+ Amazon S3 prend en charge l'utilisation des politiques basées sur les ressources sur leurs compartiments. Pour de plus amples informations, veuillez consulter [Exemples de politique de compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html).
<a name="NoDefaultPermissions"></a>
**Des créateurs de ressource ne reçoivent pas automatiquement des autorisations**  
Si vous vous connectez à l'aide des Utilisateur racine d'un compte AWS informations d'identification, vous êtes autorisé à effectuer toute action sur les ressources appartenant au compte. Toutefois, ce n'est pas le cas pour les utilisateurs IAM. Un utilisateur IAM peut recevoir un accès pour créer une ressource, mais les autorisations de cet utilisateur, même pour cette ressource, se limitent à ce qui a été explicitement accordé. Cela signifie que si vous créez une ressource, par exemple un rôle IAM, vous n'avez pas automatiquement l'autorisation de modifier ou de supprimer ce rôle. De plus, votre autorisation peut être révoquée à tout moment par le propriétaire du compte ou par un autre utilisateur disposant d'un accès pour gérer vos autorisations.

## Contrôle de l'accès aux principaux dans un compte spécifique
<a name="access_controlling-principal-accounts"></a>

Vous pouvez accorder directement à des utilisateurs IAM de votre propre compte un accès à vos ressources. Si des utilisateurs d'un autre compte doivent accéder à vos ressources, vous pouvez créer un rôle IAM. Un rôle est une entité incluant des autorisations, mais qui n'est pas associée à un utilisateur spécifique. Les utilisateurs d'autres comptes peuvent ensuite endosser le rôle et accéder aux ressources en fonction des autorisations que vous avez attribuées à ce rôle. Pour plus d'informations, veuillez consulter [Accès pour un utilisateur IAM à un autre utilisateur Compte AWS dont vous êtes le propriétaire](id_roles_common-scenarios_aws-accounts.md).

**Note**  
Certains services prennent en charge les politiques basées sur les ressources, comme décrit dans[Politiques basées sur l'identité et Politiques basées sur une ressource](access_policies_identity-vs-resource.md) (Amazon S3, Amazon SNS et Amazon SQS, par ex.). Pour ces services, une alternative à l'utilisation de rôles consiste à attacher une politique à la ressource (compartiment, rubrique ou file d'attente) que vous voulez partager. La politique basée sur les ressources peut spécifier le AWS compte autorisé à accéder à la ressource.

# Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises
<a name="access_iam-tags"></a>

Utilisez les informations de la section suivante pour contrôler qui peut accéder à vos utilisateurs et rôles IAM, ainsi que les ressources auxquelles vos utilisateurs et rôles peuvent accéder. Pour des informations plus générales et des exemples de contrôle de l'accès à d'autres AWS ressources, y compris à d'autres ressources IAM, consultez[Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).

**Note**  
Pour plus d'informations sur la sensibilité à la casse des clés de balises et les valeurs de clés de balises, consultez [Case sensitivity](id_tags.md#case-sensitivity) (français non garanti).

Les balises peuvent être attachées à la *ressource* IAM, transmises dans la *demande* ou attachées au *principal* qui effectue la demande. Un utilisateur ou rôle IAM peut être à la fois une ressource et un principal. Par exemple, vous pouvez écrire une politique qui permet à un utilisateur de répertorier les groupes d'un utilisateur. Cette opération est autorisée uniquement si l'utilisateur effectuant la demande (le principal) a la même balise `project=blue` que l'utilisateur qu'il essaie de consulter. Dans cet exemple, l'utilisateur peut afficher l'appartenance au groupe de n'importe quel utilisateur, y compris lui-même, tant qu'il travaille sur le même projet.

Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'[élément de condition](reference_policies_elements_condition.md) d'une politique. Lorsque vous créez une politique IAM, vous pouvez utiliser des balises IAM et la clé de condition de balise associée pour contrôler l'accès à chacun des éléments suivants :
+ **[Resource](access_tags.md#access_tags_control-resources)** (Ressource) : contrôlez l'accès aux ressources d'utilisateur ou de rôle en fonction de leurs balises. Pour ce faire, utilisez la clé de *key-name* condition **aws :ResourceTag/**pour spécifier la paire clé-valeur de balise qui doit être attachée à la ressource. Pour de plus amples informations, veuillez consulter [Contrôle de l'accès aux AWS ressources](access_tags.md#access_tags_control-resources).
+ **[Request](access_tags.md#access_tags_control-requests)** (Demande) : contrôlez les balises pouvant être transmises dans une demande IAM. Pour ce faire, utilisez la clé de *key-name* condition **aws :RequestTag/**pour spécifier les balises qui peuvent être ajoutées, modifiées ou supprimées pour un utilisateur ou un rôle IAM. Cette clé est utilisée de la même manière pour les ressources IAM et les autres AWS ressources. Pour de plus amples informations, veuillez consulter [Contrôle de l'accès lors AWS des demandes](access_tags.md#access_tags_control-requests).
+ **[Principal](#access_iam-tags_control-principals)** : contrôlez ce que la personne à l'origine de la demande (le principal) est autorisée à faire en fonction des balises qui sont attachées à l'utilisateur ou au rôle IAM de cette personne. Pour ce faire, utilisez la clé de *key-name* condition **aws :PrincipalTag/**pour spécifier les balises qui doivent être attachées à l'utilisateur ou au rôle IAM avant que la demande ne soit autorisée.
+ **[N'importe quelle partie du processus d'autorisation](#access_iam-tags_control-tag-keys)** : utilisez la clé de TagKeys condition **aws :** pour contrôler si des clés de balise spécifiques peuvent être utilisées dans une demande ou par un principal. Dans ce cas, la valeur de la clé n'importe pas. Cette clé se comporte de la même manière pour IAM et les autres AWS services. Toutefois, lorsque vous balisez un utilisateur dans IAM, cette action contrôle également si le principal peut adresser la demande à n'importe quel service. Pour plus d’informations, veuillez consulter [Contrôle de l'accès en fonction des clés de balise](access_tags.md#access_tags_control-tag-keys).

Vous pouvez créer une politique IAM à l'aide de l'éditeur visuel, à l'aide de JSON ou en important une politique gérée existante. Pour en savoir plus, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).

**Note**  
Vous pouvez également transmettre des [balises de session](id_session-tags.md) lorsque vous endossez un rôle IAM ou fédérez un utilisateur. Celles-ci ne sont valides que pendant la durée de la session.

## Contrôle de l'accès pour les principaux IAM
<a name="access_iam-tags_control-principals"></a>

Vous pouvez contrôler ce que le principal est autorisé à faire en fonction des balises attachées à l'identité de cette personne. 

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui permet à tout utilisateur de ce compte d'afficher l'appartenance au groupe de n'importe quel utilisateur, y compris lui-même, tant qu'il travaille sur le même projet. Cette opération est autorisée uniquement lorsque la balise de ressource de l'utilisateur et la balise du principal ont la même valeur pour la clé de balise `project`. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:ListGroupsForUser",
            "Resource": "arn:aws:iam::111222333444:user/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
            }
        }]
}
```

------

## Contrôle de l'accès en fonction des clés de balise
<a name="access_iam-tags_control-tag-keys"></a>

Vous pouvez utiliser les balises dans vos politiques IAM pour contrôler si des clés de balise spécifiques peuvent être utilisées sur une ressource, dans une requête ou par un principal.

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise la suppression de la balise avec la clé `temporary` uniquement, des utilisateurs. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:UntagUser",
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
    }]
}
```

------

# Contrôle de l'accès aux AWS ressources à l'aide de balises
<a name="access_tags"></a>

Vous pouvez utiliser des balises pour contrôler l'accès à vos AWS ressources qui prennent en charge le balisage, y compris les ressources IAM. Vous pouvez baliser des utilisateurs et des rôles IAM pour contrôler les éléments auxquels ils peuvent accéder. Pour savoir comment baliser des utilisateurs et des rôles IAM, consultez [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md). En outre, vous pouvez contrôler l'accès aux ressources IAM suivantes : politiques gérées par le client, fournisseurs d'identité IAM, profils d'instance, certificats de serveur et dispositifs MFA virtuels. Pour accéder à un didacticiel sur la création et le test d'une politique permettant aux rôles IAM avec des balises principaux d'accéder aux ressources avec des balises correspondantes, veuillez consulter [Tutoriel IAM : définir les autorisations d'accès aux AWS ressources en fonction des balises](tutorial_attribute-based-access-control.md). Utilisez les informations de la section suivante pour contrôler l'accès à d'autres AWS ressources, y compris les ressources IAM, sans baliser les utilisateurs ou les rôles IAM.

Avant d'utiliser des balises pour contrôler l'accès à vos AWS ressources, vous devez comprendre comment AWS octroyer l'accès. AWS est composé de collections de *ressources*. Une instance Amazon EC2 est une ressource. Un compartiment Amazon S3 est une ressource. Vous pouvez utiliser l' AWS API AWS CLI, le ou le AWS Management Console pour effectuer une opération, telle que la création d'un compartiment dans Amazon S3. Dans ce cas, vous envoyez une *demande* pour cette opération. Votre demande spécifie une action, une ressource, une *entité mandataire* (utilisateur ou rôle), un *compte principal* et toutes les informations nécessaires relatives à la demande. Toutes ces informations fournissent le *contexte*.

AWS vérifie ensuite que vous (l'entité principale) êtes authentifié (connecté) et autorisé (autorisé) à effectuer l'action spécifiée sur la ressource spécifiée. Lors de l'autorisation, AWS vérifie toutes les politiques qui s'appliquent au contexte de votre demande. La plupart des politiques sont stockées AWS sous forme de [documents JSON](access_policies.md#access_policies-json) et spécifient les autorisations pour les entités principales. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).

AWS autorise la demande uniquement si chaque partie de votre demande est autorisée par les politiques. Pour afficher un schéma et en savoir plus sur l'infrastructure IAM, consultez [Fonctionnement de IAM](intro-structure.md). Pour obtenir des détails sur la façon dont IAM détermine si une demande est autorisée, reportez-vous à [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md).

Les balises sont une autre considération concernant ce processus, car elles peuvent être attachées à la *ressource* ou transmises dans la *demande* aux services qui prennent en charge le balisage. Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'[élément de condition](reference_policies_elements_condition.md) d'une politique. Pour savoir si un AWS service prend en charge le contrôle d'accès à l'aide de balises, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md) et recherchez les services dont la valeur est **« Oui »** dans la colonne **ABAC**. Choisissez le nom du service pour afficher la documentation sur l'autorisation et le contrôle d'accès de ce service.

Vous pouvez ensuite créer une politique IAM qui autorise ou refuse l'accès à une ressource en fonction de la balise de cette ressource. Dans cette politique , vous pouvez utiliser des clés de condition de balise pour contrôler l'accès à l'un des éléments suivants :
+ **[Ressource](#access_tags_control-resources)** : contrôlez l'accès aux ressources de AWS service en fonction des balises figurant sur ces ressources. Pour ce faire, utilisez la clé de *key-name* condition **aws :ResourceTag/**pour déterminer s'il convient d'autoriser l'accès à la ressource en fonction des balises associées à la ressource.
+ **[Request](#access_tags_control-requests)** (Demande) : contrôle les balises qui peuvent être transmises dans une demande. Pour ce faire, utilisez la clé de *key-name* condition **aws :RequestTag/**pour spécifier les paires clé-valeur de balise qui peuvent être transmises dans une demande de balisage d'une AWS ressource.
+ **[N'importe quelle partie du processus d'autorisation](#access_tags_control-tag-keys)** : utilisez la clé de TagKeys condition **aws :** pour contrôler si des clés de balise spécifiques peuvent figurer dans une demande. 

Vous pouvez créer une politique IAM visuellement, à l'aide de JSON, ou en important une politique gérée existante. Pour en savoir plus, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).

**Note**  
Certains services permettent aux utilisateurs d'attribuer des balises au moment de la création de la ressource (s'ils ont les autorisations d'utiliser l'action qui crée la ressource).

## Contrôle de l'accès aux AWS ressources
<a name="access_tags_control-resources"></a>

Vous pouvez utiliser des conditions dans vos politiques IAM pour contrôler l'accès aux AWS ressources en fonction des balises associées à ces ressources. Pour ce faire, vous pouvez utiliser la clé de condition globale `aws:ResourceTag/tag-key` ou une clé spécifique au service. Certains services prennent en charge uniquement la version spécifique au service de cette clé et non la version globale. 

**Avertissement**  
N'essayez pas de contrôler les personnes susceptibles de faire passer un rôle en étiquetant ce rôle, puis en utilisant la clé de condition `ResourceTag` dans une politique avec l'action `iam:PassRole`. Cette approche ne produit pas des résultats fiables. Pour de plus amples informations sur les autorisations requises pour transmettre un rôle à un service, veuillez consulter [Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service](id_roles_use_passrole.md).

 Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise le démarrage ou l'arrêt d'instances Amazon EC2. Ces opérations sont autorisées uniquement si la balise d'instance `Owner` a la valeur du nom d'utilisateur. Cette politique définit des autorisations pour l'accès à la console et par programmation. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

Vous pouvez rattacher cette politique aux utilisateurs IAM de votre compte. Si un utilisateur nommé `richard` tente de démarrer une instance Amazon EC2, l'instance doit être balisée `Owner=richard` ou `owner=richard`. Dans le cas contraire, il se verra refuser l'accès. La clé de balise `Owner` correspond à la fois à `Owner` et `owner`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour de plus amples informations, veuillez consulter [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md).

Cet exemple montre comment créer une politique basée sur l'identité qui utilise la balise de principal `team` dans l'ARN de la ressource. Cette politique autorise la suppression des files d'attente Amazon Simple Queue Service, mais uniquement si le nom de la file d'attente commence par le nom de l'équipe suivi de `-queue`. Par exemple, `qa-queue` si `qa` est le nom de l'équipe pour la balise de principal `team`.

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Sid": "AllQueueActions",
        "Effect": "Allow",
        "Action": "sqs:DeleteQueue",
        "Resource": "arn:aws:sqs:us-east-2:111122223333:${aws:PrincipalTag/team}-queue"
      }
}
```

------

## Contrôle de l'accès lors AWS des demandes
<a name="access_tags_control-requests"></a>

Vous pouvez utiliser des conditions dans vos politiques IAM pour contrôler les paires clé-valeur de balise qui peuvent être transmises dans une demande qui applique des balises à une ressource. AWS 

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'utilisation de l'action `CreateTags` d'Amazon EC2 pour attacher des balises à une instance. Vous pouvez attacher des balises uniquement si la balise contient la clé `environment` et les valeurs `production` ou `preprod`. En tant que bonne pratique, utilisez le modificateur `ForAllValues` avec la clé de condition `aws:TagKeys` pour indiquer que seule la clé `environment` est autorisée dans la demande. Cela empêche les utilisateurs d'inclure d'autres clés, notamment en utilisant accidentellement `Environment` au lieu de `environment`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:CreateTags",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/environment": [
                    "preprod",
                    "production"
                ]
            },
            "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
        }
    }
}
```

------

## Contrôle de l'accès en fonction des clés de balise
<a name="access_tags_control-tag-keys"></a>

Vous pouvez utiliser une condition dans vos politiques IAM pour contrôler si des clés de balise spécifiques peuvent être utilisées dans une requête.

Lorsque vous utilisez des politiques pour contrôler l'accès à l'aide de balises, nous vous recommandons d'utiliser la [clé de `aws:TagKeys` condition](reference_policies_condition-keys.md#condition-keys-tagkeys). AWS les services qui prennent en charge les balises peuvent vous permettre de créer plusieurs noms de clés de balise qui ne diffèrent qu'au cas par cas, par exemple en balisant une instance `stack=production` Amazon EC2 avec et. `Stack=test` Les noms de clé ne sont pas sensibles à la casse dans les conditions des politiques. Cela signifie que si vous spécifiez `"aws:ResourceTag/TagKey1": "Value1"` dans l'élément de condition de votre politique, la condition correspond à une clé de balise de ressource nommée `TagKey1` ou `tagkey1`, mais pas aux deux. Pour éviter la duplication de balises avec une clé qui ne varie que par la casse, utilisez la condition `aws:TagKeys` pour définir les clés de balise que vos utilisateurs peuvent appliquer, ou utilisez les politiques de balises, disponibles avec AWS Organizations. Pour en savoir plus, consultez [Stratégies de balisage](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) dans le *Guide de l’utilisateur AWS Organizations *. 

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise la création et la balise d'un secret Secrets Manager, mais uniquement avec les clés de balise `environment` ou `cost-center`. La condition `Null` garantit que la condition a la valeur `false` s'il n'y a pas de balises dans la demande.

```
{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:CreateSecret",
            "secretsmanager:TagResource"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:TagKeys": "false"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "environment",
                    "cost-center"
                ]
            }
        }
}
```

# Accès intercompte aux ressources dans IAM
<a name="access_policies-cross-account-resource-access"></a>

Pour certains AWS services, vous pouvez accorder un accès multicompte à vos ressources à l'aide d'IAM. Pour cela, vous pouvez attacher une politique de ressources directement à la ressource que vous voulez partager, ou bien utiliser un rôle en tant que proxy.

Pour partager directement une ressource, la ressource que vous voulez partager doit prendre en charge [les politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-resource-based-policies). Contrairement à une politique basée sur l'identité pour un rôle, une politique basée sur une ressource spécifie qui (quel principal) peut accéder à cette ressource.

Utilisez un rôle en tant que proxy lorsque vous voulez accéder aux ressources d'un autre compte qui ne prend pas en charge les politiques basées sur les ressources.

Pour en savoir plus sur les différences entre ces types de politiques, consultez [Politiques basées sur l'identité et Politiques basées sur une ressource](access_policies_identity-vs-resource.md).

**Note**  
Les politiques IAM basées sur les ressources et les rôles ne délèguent l'accès entre les comptes qu'au sein d'une seule partition. Par exemple, vous avez un compte dans la région USA Ouest (Californie du Nord) dans la partition `aws` standard. Vous avez également un compte dans la région Chine dans la partition `aws-cn`. Vous ne pouvez pas utiliser une politique basée sur les ressources dans votre compte en Chine pour autoriser l'accès aux utilisateurs de votre compte standard AWS .

## Accès intercompte à l'aide de rôles
<a name="access_policies-cross-account-using-roles"></a>

Les politiques basées sur les ressources ne sont pas prises en charge par tous les AWS services. Pour ces services, vous pouvez utiliser des rôles IAM intercomptes afin de centraliser la gestion des autorisations lorsque vous fournissez un accès intercompte à plusieurs services. Un rôle IAM entre comptes est un rôle IAM qui inclut une [politique de confiance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#term_trust-policy) qui permet aux principaux IAM d'un autre AWS compte d'assumer ce rôle. En termes simples, vous pouvez créer un rôle dans un AWS compte qui délègue des autorisations spécifiques à un autre AWS compte.

Pour de plus amples informations sur l'attachement d'une politique à une identité IAM, veuillez consulter [Gestion des politiques IAM](access_policies_manage.md).

**Note**  
Lorsqu'un principal passe à un rôle pour utiliser temporairement les autorisations de ce rôle, il abandonne ses autorisations d'origine et reprend les autorisations attribuées au rôle qu'il a assumé.

Examinons le processus global tel qu'il s'applique au logiciel du partenaire APN qui doit accéder à un compte client.

1. Le client crée un rôle IAM dans son propre compte avec une politique qui autorise l'accès aux ressources Amazon S3 dont le partenaire APN a besoin. Dans cet exemple, le nom du rôle est `APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:*",
               "Resource": [
                   "arn:aws:s3:::bucket-name"
               ]
           }
       ]
   }
   ```

------

1. Le client précise ensuite que le rôle peut être assumé par le AWS compte du partenaire en fournissant l' Compte AWS identifiant du partenaire APN dans la [politique de confiance relative](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) au `APNPartner` rôle.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/APN-user-name"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Le client donne l'Amazon Resource Name (ARN) du rôle au partenaire APN. L'ARN est le nom entièrement qualifié du rôle.

   ```
   arn:aws:iam::Customer-Account-ID:role/APNPartner
   ```
**Note**  
Nous vous recommandons d'utiliser un ID externe dans les situations à locataires multiples. Pour en savoir plus, consultez [Accès à des Comptes AWS sites appartenant à des tiers](id_roles_common-scenarios_third-party.md).

1. Lorsque le logiciel du partenaire APN doit accéder au compte du client, le logiciel appelle l'[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API AWS Security Token Service avec l'ARN du rôle dans le compte du client. STS renvoie un AWS identifiant temporaire qui permet au logiciel de faire son travail.

Pour un autre exemple de l'octroi d'un accès intercompte à l'aide de rôles, consultez [Accès pour un utilisateur IAM à un autre utilisateur Compte AWS dont vous êtes le propriétaire](id_roles_common-scenarios_aws-accounts.md). Vous pouvez également suivre le tutoriel [Tutoriel IAM : déléguer l'accès entre AWS comptes à l'aide de rôles IAM](tutorial_cross-account-with-roles.md).

## Accès intercompte à l'aide de politiques basées sur les ressources
<a name="access_policies-cross-account-using-resource-based-policies"></a>

Lorsqu'un compte accède à une ressource par le biais d'un autre compte à l'aide d'une politique basée sur les ressources, le principal continue d'utiliser le compte approuvé sans devoir renoncer à ses autorisations au profit des autorisations du rôle. Autrement dit, le principal continue d'avoir accès aux ressources du compte approuvé tout en ayant accès à la ressource du compte d'approbation. Cela est utile pour les tâches de copie d'informations de ou vers la ressources partagée de l'autre compte.

Les principes que vous pouvez spécifier dans une politique basée sur les ressources incluent les comptes, les utilisateurs IAM, les principaux d'utilisateurs AWS STS fédérés, les principaux fédérés SAML, les principaux fédérés OIDC, les rôles IAM, les sessions de rôle assumé ou les services. AWS Pour plus d'informations, consultez [Spécification d'un principal](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying).

Pour savoir si les principaux des comptes situés en dehors de votre zone d'approbation (organisation ou compte d'approbation) peuvent accéder à vos rôles et les assumer, consultez [Identification des ressources partagées avec une entité externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification).

La liste suivante inclut certains des AWS services qui prennent en charge les politiques basées sur les ressources. Pour obtenir une liste complète du nombre croissant de AWS services qui permettent d'associer des politiques d'autorisation aux ressources plutôt qu'aux principaux, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md) et recherchez les services dont la valeur est **Oui** dans la colonne **Basé sur les ressources**.
+ **Compartiments Amazon S3** : la politique est attachée au compartiment, mais la politique contrôle l'accès au compartiment et aux objets qu'il contient. Pour plus d’informations, consultez [Politiques de compartiment pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) dans le *Guide de l’utilisateur Amazon Simple Storage Service*. Dans certains cas, il peut être préférable d'utiliser des rôles pour l'accès entre comptes à Amazon S3. Pour plus d’informations, veuillez consulter les [exemples de démonstration](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) dans le *guide de l'utilisateur du service de stockage simple Amazon*.
+ **Rubriques Amazon Simple Notification Service (Amazon SNS)** : pour plus d'informations, consultez [Cas d'exemple pour le contrôle d'accès Amazon SNS](https://docs.aws.amazon.com//sns/latest/dg/sns-access-policy-use-cases.html) dans le *Guide du développeur Amazon Simple Notification Service*.
+ **Files d'attente Amazon Simple Queue Service (Amazon SQS)** : pour de plus amples informations, veuillez consulter [Annexe : langage de la politique d'accès](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) dans le *Manuel du développeur Amazon Simple Queue Service*. 

## Politiques basées sur les ressources pour déléguer les autorisations AWS
<a name="access_policies-cross-account-delegating-resource-based-policies"></a>

Si une ressource accorde des autorisations aux principaux de votre compte, vous pouvez alors déléguer ces autorisations à des identités IAM spécifiques. Les identités sont des utilisateurs, des groupes d'utilisateurs ou des rôles de votre compte. Vous déléguez des autorisations en attachant une politique à l'identité. Vous pouvez accorder autant d'autorisations que le compte propriétaire de la ressource le permet.

**Important**  
En cas d'accès intercompte, un principal a besoin d'une `Allow` dans la politique d'identité intégrée **et** d'une politique basée sur les ressources.

Supposons qu'une politique basée sur une ressource accorde à tous les principaux de votre compte un accès administratif complet à une ressource. Vous pouvez ensuite déléguer l'accès complet, l'accès en lecture seule ou tout autre accès partiel aux principaux de votre compte. AWS Sinon, si la politique basée sur la ressource autorise uniquement les autorisations d'affichage de liste, vous pouvez déléguer uniquement ce type d'accès. Si vous essayez de déléguer davantage d'autorisations que n'en possède votre compte, l'accès de vos principaux restera limité à l'affichage de liste.

Pour plus d'informations sur la façon dont ces décisions sont prises, consultez [Identification d'une demande autorisée ou refusée dans un compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html).

**Note**  
Les politiques IAM basées sur les ressources et les rôles ne délèguent l'accès entre les comptes qu'au sein d'une seule partition. Par exemple, vous ne pouvez pas ajouter d'accès entre comptes entre un compte dans la partition `aws` standard et un compte dans la partition `aws-cn`. 

Par exemple, supposons que vous gériez `AccountA` et `AccountB`. Dans AccountA, vous avez un compartiment Amazon S3 nommé `BucketA`.

![\[Une politique basée sur les ressources créée pour le compartiment Amazon S3 fournit des autorisations AccountB à AccountA.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/access_policies-cross-account.png)


1. Vous attachez une politique basée sur les ressources à `BucketA` qui permet à tous les principaux de AccountB d'avoir un accès complet aux objets de votre compartiment. Ils peuvent créer, lire ou supprimer les objets de ce compartiment. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PrincipalAccess",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::BucketA/*"
           }
       ]
   }
   ```

------

   AccountA accorde à AccountB un accès complet à BucketA en désignant AccountB comme principal dans la politique basée sur les ressources. Par conséquent, AccountB est autorisé à effectuer toute action sur BucketA, et l'administrateur de AccountB peut déléguer l'accès à ses utilisateurs dans AccountB.

   L'utilisateur root de AccountB dispose de toutes les autorisations accordées au compte. Par conséquent, l'utilisateur root a un accès complet à BucketA.

1. Dans AccountB, attachez une politique à l'utilisateur IAM nommé User2. Cette politique permet à l'utilisateur d'accéder en lecture seule aux objets de BucketA. Cela signifie que User2 peut afficher les objets, mais ne peut pas les créer, les modifier ou les supprimer. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect" : "Allow", 
               "Action" : [ 
                   "s3:Get*", 
                   "s3:List*" ], 
                   "Resource" : "arn:aws:s3:::BucketA/*" 
           } 
       ]
   }
   ```

------

   Le niveau d'accès maximal que AccountB peut déléguer est le niveau d'accès accordé au compte. Dans ce cas, la politique basée sur les ressources a accordé un accès complet à AccountB, mais User2 ne dispose que d'un accès en lecture seule.

   L'administrateur de AccountB n'accorde pas l'accès à User1. Par défaut, les utilisateurs n'ont pas d'autorisations, sauf celles qui sont accordées explicitement, et ainsi User1 n'a pas accès à BucketA.

IAM évalue les autorisations d'un principal au moment où il fait une demande. Si vous utilisez des caractères génériques (\$1) pour donner aux utilisateurs un accès complet à vos ressources, les principaux peuvent accéder à toutes les ressources auxquelles votre AWS compte a accès. Cela est vrai même pour les ressources que vous ajoutez ou auxquelles vous accédez après la création de la politique de l'utilisateur.

Dans l'exemple précédent, si AccountB avait attaché à User2 une politique permettant un accès complet à toutes les ressources de tous les comptes, User2 aurait automatiquement eu accès à toutes les ressources auxquelles AccountB a accès. Cela inclut l'accès à BucketA et l'accès à toutes les autres ressources accordé par les politiques basées sur les ressources dans AccountA.

Pour plus d'informations sur l'utilisation des rôles de manière plus complexe, comme accorder l'accès à des applications et des services, consultez [Scénarios courants de rôles IAM](id_roles_common-scenarios.md).

**Important**  
N'accordez l'accès qu'aux entités auxquelles vous faites confiance et accordez l'accès minimal nécessaire. Chaque fois que l'entité de confiance est un autre AWS compte, n'importe quel principal IAM peut se voir accorder l'accès à votre ressource. Le AWS compte sécurisé ne peut déléguer l'accès que dans la mesure où l'accès lui a été accordé ; il ne peut pas déléguer un accès supérieur à celui accordé au compte lui-même.

Pour plus d'informations sur les autorisations, les politiques et le langage de politique d'autorisation que vous utilisez pour écrire des politiques, consultez [Gestion de l'accès aux AWS ressources](access.md).

# Transmission des sessions d'accès
<a name="access_forward_access_sessions"></a>

Les sessions d'accès direct (FAS) sont une technologie IAM utilisée par les AWS services pour transmettre votre identité, vos autorisations et vos attributs de session lorsqu'un AWS service fait une demande en votre nom. FAS utilise les autorisations de l'identité appelant un AWS service, combinées à l'identité du AWS service, pour adresser des demandes aux services en aval. Les demandes FAS ne sont adressées aux AWS services pour le compte d'un principal IAM qu'une fois qu'un service a reçu une demande qui nécessite des interactions avec d'autres AWS services ou ressources pour être traitée. Lorsqu'une demande de FAS est effectuée :
+ Le service qui reçoit la demande initiale d'un principal IAM vérifie les autorisations de ce dernier.
+ Le service qui reçoit une demande de FAS ultérieure vérifie également les autorisations du même principal IAM.

Par exemple, le FAS est utilisé par Amazon S3 pour effectuer des appels AWS Key Management Service afin de déchiffrer un objet lorsque [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) a été utilisé pour le chiffrer. Lors du téléchargement d'un objet chiffré SSE-KMS, un rôle nommé **lecteur de données** appelle GetObject l'objet à Amazon S3, mais ne l'appelle pas directement. AWS KMS Après avoir reçu la GetObject demande et autorisé le lecteur de données, Amazon S3 envoie une demande FAS AWS KMS afin de déchiffrer l'objet Amazon S3. Lorsque KMS reçoit la demande de FAS, il vérifie les autorisations du rôle et n'autorise la demande de déchiffrement que si le lecteur de données dispose des autorisations correctes sur la clé KMS. Les demandes adressées à Amazon S3 et à Amazon S3 AWS KMS sont autorisées à l'aide des autorisations du rôle et ne sont couronnées de succès que si le lecteur de données est autorisé à la fois à accéder à l'objet Amazon S3 et à la clé AWS KMS.

![\[Schéma de flux d'un rôle IAM transmis en tant que principal à Amazon S3, puis à AWS KMS.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/access-fas-example.png)


**Note**  
Des demandes de FAS supplémentaires peuvent être effectuées par les services qui ont reçu une demande de FAS. Dans ce cas, le principal demandeur doit disposer d'autorisations pour tous les services appelés par la FAS.

## Conditions des demandes de FAS et de la politique IAM
<a name="access_fas_policy_conditions"></a>

Lorsque des demandes de FAS sont effectuées, les clés de condition [aws:CalledVia](reference_policies_condition-keys.md#condition-keys-calledvia), [aws:CalledViaFirst](reference_policies_condition-keys.md#condition-keys-calledviafirst), et [aws:CalledViaLast](reference_policies_condition-keys.md#condition-keys-calledvialast) sont renseignées avec le principal du service qui a initié l'appel FAS. La valeur de la clé de condition [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) est définie sur `true` chaque fois qu'une demande de FAS est effectuée. Dans le schéma suivant, aucune `aws:CalledVia` clé de `aws:ViaAWSService` condition n'est définie pour la demande CloudFormation directe. Lorsque CloudFormation DynamoDB envoie des demandes FAS en aval pour le compte du rôle, les valeurs de ces clés de condition sont renseignées.

![\[Schéma de flux d'un rôle IAM transmis en tant que principal à DynamoDB CloudFormation et transmettant ensuite les valeurs des clés de condition à DynamoDB et. AWS KMS\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/access-fas-example2.png)


Pour autoriser une demande FAS alors qu'elle serait autrement refusée par une déclaration de politique de refus avec une clé de condition testant les adresses IP source ou la source VPCs, vous devez utiliser des clés de condition pour fournir une exception pour les demandes FAS dans votre politique de refus. Cela peut être fait pour toutes les demandes de FAS en utilisant la clé de condition `aws:ViaAWSService`. Pour autoriser uniquement des AWS services spécifiques à effectuer des demandes FAS, utilisez`aws:CalledVia`.

**Important**  
Lorsqu'une demande de FAS est effectuée après qu'une demande initiale a été effectuée via un point de terminaison d'un VPC, les valeurs des clés de condition pour `aws:SourceVpce`, `aws:SourceVpc` et `aws:VpcSourceIp` de la demande initiale ne sont pas utilisées dans les demandes de FAS. Lorsque vous rédigez des politiques utilisant `aws:VPCSourceIP` ou `aws:SourceVPCE` pour accorder un accès conditionnel, vous devez également utiliser `aws:ViaAWSService` ou `aws:CalledVia` pour autoriser les demandes de FAS. Lorsqu'une demande FAS est faite après réception d'une demande initiale par un point de terminaison de AWS service public, les demandes FAS suivantes seront effectuées avec la même valeur de clé de `aws:SourceIP` condition.

## Exemple : autoriser l'accès à Amazon S3 depuis un VPC ou avec la FAS
<a name="access_fas_example"></a>

Dans l'exemple de politique IAM suivant, les demandes Amazon S3 GetObject et Athena ne sont autorisées que si elles proviennent de points de terminaison VPC rattachés *example\$1vpc* à, ou s'il s'agit d'une demande FAS effectuée par Athena.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
          "vpc-111bbb22"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}
```

------

Pour d'autres exemples d'utilisation de clés de condition pour autoriser l'accès à la FAS, consultez le référentiel [data perimeter example policy repo](https://github.com/aws-samples/data-perimeter-policy-examples).

# Exemples de politiques basées sur l'identité IAM
<a name="access_policies_examples"></a>

Une [politique](access_policies.md) est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un principal IAM (utilisateur ou rôle) fait une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de documents JSON attachés à une identité IAM (utilisateur, groupe d'utilisateurs ou rôle). Les politiques basées sur l'identité incluent des politiques gérées par AWS des politiques gérées par le client et des politiques en ligne. Pour apprendre à créer une politique IAM à l'aide de ces exemples de document de politique JSON, consultez [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).

Par défaut, toutes les demandes sont refusées. Ainsi, vous devez fournir l'accès aux services, actions et ressources que vous avez l'intention d'autoriser en accès à l'identité. Si vous souhaitez également autoriser l'accès pour effectuer les actions spécifiées dans la console IAM, vous devez fournir des autorisations supplémentaires.

La bibliothèque de politiques suivante peut vous aider à définir des autorisations pour vos identités IAM. Une fois la politique recherchée trouvée, choisissez **Afficher cette politique** pour afficher le code JSON de la politique. Vous pouvez utiliser le document de politique JSON sous forme de modèle pour vos propres politiques.

**Note**  
Si vous souhaitez envoyer une politique à inclure dans ce guide de référence, utilisez le bouton **Commentaire** situé au bas de cette page.

## Exemples de politiques : AWS
<a name="policy_library_AWS"></a>
+ Autorise l'accès dans une plage de dates spécifique. ([Afficher cette politique](reference_policies_examples_aws-dates.md).)
+ Permet d'activer et de désactiver AWS les régions. ([Afficher cette politique](reference_policies_examples_aws-enable-disable-regions.md).)
+ Autorise les utilisateurs authentifiés par MFA à gérer leurs propres informations d’identification sur la page **Mes informations d’identification de sécurité**. ([Afficher cette politique](reference_policies_examples_aws_my-sec-creds-self-manage.md).)
+ Autorise un accès spécifique en cas d'utilisation de MFA pendant une plage de dates spécifique. ([Afficher cette politique](reference_policies_examples_aws_mfa-dates.md).)
+ Autorise les utilisateurs à gérer leurs propres informations d’identification sur la page **Mes informations d’identification de sécurité**. ([Afficher cette politique](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).)
+ Autorise les utilisateurs à gérer leur propre dispositif MFA sur la page **Mes informations d’identification de sécurité**. ([Afficher cette politique](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).)
+ Autorise les utilisateurs à gérer leur propre mot de passe sur la page **Mes informations d’identification de sécurité**. ([Afficher cette politique](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).)
+ Autorise les utilisateurs à gérer leurs propres mots de passe, clés d’accès et clés publiques SSH sur la page **Mes informations d’identification de sécurité**. ([Afficher cette politique](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md).)
+ Refuse l'accès à AWS en fonction de la région demandée. ([Afficher cette politique](reference_policies_examples_aws_deny-requested-region.md).)
+ Refuse l'accès à AWS en fonction de l'adresse IP source. ([Afficher cette politique](reference_policies_examples_aws_deny-ip.md).)

## Exemple de politique : AWS Data Exchange
<a name="policy_data_exchange"></a>
+ Refuser l'accès aux ressources Amazon S3 en dehors de votre compte, sauf AWS Data Exchange. ([Afficher cette politique](reference_policies_examples_resource_account_data_exch.md).)

## Exemples de politiques : AWS Data Pipeline
<a name="policy_library_DataPipeline"></a>
+ Refuse l'accès aux pipelines qu'un utilisateur n'a pas créés [(Afficher cette politique](reference_policies_examples_datapipeline_not-owned.md)).

## Exemple de politiques : Amazon DynamoDB
<a name="policy_library_DynamoDB"></a>
+ Autorise l'accès à une table Amazon DynamoDB spécifique ([afficher cette politique](reference_policies_examples_dynamodb_specific-table.md)).
+ Autorise l'accès à des attributs Amazon DynamoDB spécifiques ([afficher cette politique](reference_policies_examples_dynamodb_attributes.md)).
+ Autorise l'accès au niveau des éléments à Amazon DynamoDB en fonction d'un ID Amazon Cognito ([Afficher cette politique](reference_policies_examples_dynamodb_items.md)).

## Exemples de politiques : Amazon EC2
<a name="policy_library_ec2"></a>
+ Permet de joindre ou de détacher des volumes Amazon EBS à des EC2 instances Amazon en fonction de balises ([consultez cette politique](reference_policies_examples_ec2_ebs-owner.md).)
+ Permet de lancer EC2 des instances Amazon dans un sous-réseau spécifique, par programmation et dans la console ([voir cette](reference_policies_examples_ec2_instances-subnet.md) politique.)
+ Permet de gérer les groupes EC2 de sécurité Amazon associés à un VPC spécifique, par programmation et dans la console ([voir](reference_policies_examples_ec2_securitygroups-vpc.md) cette politique.)
+ Permet de démarrer ou d'arrêter EC2 les instances Amazon qu'un utilisateur a balisées, par programmation et dans la console ([voir cette politique](reference_policies_examples_ec2_tag-owner.md).)
+ Permet de démarrer ou d'arrêter EC2 des instances Amazon en fonction de la ressource et des balises principales, par programmation et dans la console ([voir cette politique](reference_policies_examples_ec2-start-stop-tags.md).)
+ Permet de démarrer ou d'arrêter EC2 des instances Amazon lorsque la ressource et les balises principales correspondent ([consultez cette politique](reference_policies_examples_ec2-start-stop-match-tags.md).)
+ Permet un EC2 accès complet à Amazon dans une région spécifique, par programmation et dans la console. ([Afficher cette politique](reference_policies_examples_ec2_region.md).)
+ Permet de démarrer ou d'arrêter une EC2 instance Amazon spécifique et de modifier un groupe de sécurité spécifique, par programmation et dans la console ([voir cette politique](reference_policies_examples_ec2_instance-securitygroup.md).)
+ Refuse l'accès à des EC2 opérations Amazon spécifiques sans MFA ([consultez cette politique](reference_policies_examples_ec2_require-mfa.md).)
+ Limite la résiliation des EC2 instances Amazon à une plage d'adresses IP spécifique ([voir cette politique](reference_policies_examples_ec2_terminate-ip.md).)

## Exemples de politiques : Gestion des identités et des accès AWS (IAM)
<a name="policy_library_IAM"></a>
+ Autorise l'accès à l'API du simulateur de politique [(Afficher cette politique)](reference_policies_examples_iam_policy-sim.md).
+ Autorise l'accès à la console du simulateur de politique [(Afficher cette politique)](reference_policies_examples_iam_policy-sim-console.md).
+ Permet d'endosser les rôles ayant une balise spécifique, par programmation et dans la console ([Afficher cette politique)](reference_policies_examples_iam-assume-tagged-role.md).
+ Autorise et refuse l'accès à plusieurs services, par programmation et dans la console [(Afficher cette politique)](reference_policies_examples_iam_multiple-services-console.md).
+ Permet d'ajouter une balise spécifique à un utilisateur IAM avec une autre balise spécifique, par programmation et dans la console ([afficher cette politique](reference_policies_examples_iam-add-tag.md)).
+ Permet d'ajouter une balise spécifique à un utilisateur ou rôle IAM, par programmation et dans la console ([afficher cette politique](reference_policies_examples_iam-add-tag-user-role.md)).
+ Permet de créer un nouvel utilisateur uniquement avec des balises spécifiques ([Afficher cette politique](reference_policies_examples_iam-new-user-tag.md)).
+ Autorise la génération et l'extraction des rapports d'informations d'identification IAM ([afficher cette politique](reference_policies_examples_iam-credential-report.md)).
+ Autorise la gestion des membres d'un groupe, par programmation et dans la console [(Afficher cette politique)](reference_policies_examples_iam_manage-group-membership.md).
+ Autorise la gestion d'une balise spécifique [(Afficher cette politique](reference_policies_examples_iam-manage-tags.md)).
+ Autorise la transmission d'un rôle IAM à un service spécifique ([afficher cette politique](reference_policies_examples_iam-passrole-service.md)).
+ Autorise l'accès en lecture seule à la console IAM sans notification ([afficher cette politique](reference_policies_examples_iam_read-only-console-no-reporting.md)).
+ Autorise l'accès en lecture seule à la console IAM ([afficher cette politique](reference_policies_examples_iam_read-only-console.md)).
+ Autorise des utilisateurs spécifiques à gérer un groupe, par programmation et dans la console ([Afficher cette politique)](reference_policies_examples_iam_users-manage-group.md).
+ Permet de définir les exigences de mot de passe de compte, par programmation et dans la console ([Afficher cette politique)](reference_policies_examples_iam_set-account-pass-policy.md).
+ Autorise l'utilisation de l'API du simulateur de politiques pour les utilisateurs avec un chemin spécifique [(Afficher cette politique)](reference_policies_examples_iam_policy-sim-path.md).
+ Autorise l'utilisation de la console du simulateur de politiques pour les utilisateurs avec un chemin spécifique [(Afficher cette politique)](reference_policies_examples_iam_policy-sim-path-console.md).
+ Autorise les utilisateurs IAM à gérer eux-mêmes un dispositif MFA. ([Afficher cette politique](reference_policies_examples_iam_mfa-selfmanage.md).)
+ Autorise les utilisateurs IAM à définir leurs informations d'identification, par programmation et dans la console. ([Afficher cette politique](reference_policies_examples_iam_credentials_console.md).)
+ Permet d'afficher les informations du dernier accès au service pour une AWS Organizations politique dans la console IAM. ([Afficher cette politique](reference_policies_examples_iam_service-accessed-data-orgs.md).)
+ Limite les politiques gérées pouvant être appliquées à un nouvel utilisateur, groupe ou rôle IAM ([afficher cette politique](reference_policies_examples_iam_limit-managed.md)).
+ Autorise l'accès aux politiques IAM uniquement dans votre compte ([Afficher cette politique](resource_examples_iam_policies_resource_account.md).)

## Exemples de politiques : AWS Lambda
<a name="policy_library_Lambda"></a>
+ Permet à une AWS Lambda fonction d'accéder à une table Amazon DynamoDB [(consultez](reference_policies_examples_lambda-access-dynamodb.md) cette politique.)

## Exemple de politiques : Amazon RDS
<a name="policy_library_RDS"></a>
+ Autorise l'accès complet à la base de données Amazon RDS dans une région donnée. ([Afficher cette politique](reference_policies_examples_rds_region.md).)
+ Autorise la restauration des bases de données Amazon RDS, par programmation et dans la console ([afficher cette politique](reference_policies_examples_rds_db-console.md)).
+ Accorde aux propriétaires de balise l'accès complet aux ressources Amazon RDS qu'ils ont balisées ([afficher cette politique](reference_policies_examples_rds_tag-owner.md)).

## Exemples de politiques : Amazon S3
<a name="policy_library_S3"></a>
+ Autorise un utilisateur Amazon Cognito à accéder aux objets dans leur propre compartiment Amazon S3 ([Afficher cette politique](reference_policies_examples_s3_cognito-bucket.md)).
+ Autorise un utilisateur avec des informations d’identification temporaires à accéder à leur répertoire d’accueil dans Amazon S3, par programmation et dans la console ([Afficher cette politique](reference_policies_examples_s3_federated-home-directory-console.md))
+ Autorise l'accès S3 complet, mais refuse explicitement l'accès au compartiment de production si l'administrateur ne s'est pas connecté à l'aide d'une autorisation MFA au cours des 30 dernières minutes ([Afficher cette politique)](reference_policies_examples_s3_full-access-except-production.md).
+ Autorise les utilisateurs IAM à accéder à leurs répertoire d'accueil dans Amazon S3, par programmation et dans la console ([Afficher cette politique](reference_policies_examples_s3_home-directory-console.md))
+ Permet à un utilisateur de gérer un seul compartiment Amazon S3 et refuse toutes les autres AWS actions et ressources ([consultez cette politique](reference_policies_examples_s3_deny-except-bucket.md).)
+ Autorise l'accès en `Read` et en `Write` à un compartiment Amazon S3 spécifique ([Afficher cette politique](reference_policies_examples_s3_rw-bucket.md)).
+ Autorise l'accès en `Read` et en `Write` à un compartiment Amazon S3 spécifique, par programmation et dans la console ([Afficher cette politique](reference_policies_examples_s3_rw-bucket-console.md)).

# AWS : permet l'accès en fonction de la date et de l'heure
<a name="reference_policies_examples_aws-dates"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'accès aux actions en fonction de la date et de l'heure. Cette politique limite l'accès aux actions effectuées entre le 1er avril 2020 et le 30 juin 2020 (UTC) inclus. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Pour en savoir plus sur l'utilisation de plusieurs conditions au sein du bloc `Condition` d'une politique IAM, consultez [Plusieurs valeurs dans un élément Condition](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "service-prefix:action-name",
            "Resource": "*",
            "Condition": {
                "DateGreaterThan": {"aws:CurrentTime": "2020-04-01T00:00:00Z"},
                "DateLessThan": {"aws:CurrentTime": "2020-06-30T23:59:59Z"}
            }
        }
    ]
}
```

------

**Note**  
Vous ne pouvez pas utiliser une variable de politique avec l'opérateur de condition Date. Pour en savoir plus, consultez [Élément de condition](reference_policies_variables.md#policy-vars-conditionelement)

# AWS: permet d'activer et de désactiver AWS les régions
<a name="reference_policies_examples_aws-enable-disable-regions"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un administrateur à activer et désactiver la région Asie-Pacifique (Hong Kong) (ap-east-1). Cette politique définit des autorisations pour l'accès à la console et par programmation. Ce paramètre s'affiche dans la page **Paramètres du compte** dans la AWS Management Console. Cette page comprend les informations de niveau compte sensibles qui doivent être affichées et gérées uniquement par les administrateurs de compte. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

**Important**  
Vous ne pouvez pas activer ou désactiver les régions qui sont activées par défaut. Vous pouvez uniquement inclure les régions *désactivées* par défaut. Pour plus d'informations, consultez [Gestion des régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) dans le *Références générales AWS*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableDisableHongKong",
            "Effect": "Allow",
            "Action": [
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"account:TargetRegion": "ap-east-1"}
            }
        },
        {
            "Sid": "ViewConsole",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité
<a name="reference_policies_examples_aws_my-sec-creds-self-manage"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise les utilisateurs IAM authentifiés à l’aide de l’[authentification multifactorielle (MFA)](id_credentials_mfa.md) à gérer leurs propres informations d’identification sur la page **Informations d’identification de sécurité**. Cette page AWS Management Console affiche les informations relatives au compte, telles que l'ID de compte et l'ID d'utilisateur canonique. Les utilisateurs peuvent également consulter et modifier leurs mots de passe, leurs clés d'accès, leurs dispositifs MFA, leurs certificats X.509, leurs clés SSH et leurs informations d'identification Git. Cet exemple de politique inclut les autorisations requises pour consulter et modifier toutes les informations de la page. Cela oblige également l'utilisateur à configurer et à s'authentifier à l'aide de la MFA avant d'effectuer toute autre opération dans. AWS Pour autoriser les utilisateurs à gérer leurs propres informations d'identification sans utiliser l'authentification MFA, consultez [AWS : autorise les utilisateurs IAM à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Pour en savoir plus sur comment les utilisateurs peuvent accéder à la page **Informations d’identification de sécurité**, consultez [Comment les utilisateurs IAM modifient leur mot de passe (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Note**  
Cet exemple de politique n'autorise pas les utilisateurs à réinitialiser un mot de passe lorsqu'ils se connectent AWS Management Console pour la première fois. Nous vous recommandons de n'accorder des autorisations aux nouveaux utilisateurs qu'après leur enregistrement. Pour de plus amples informations, veuillez consulter [Comment créer des utilisateurs IAM en toute sécurité ?](troubleshoot.md#troubleshoot_general_securely-create-iam-users). Cela empêche également les utilisateurs dont le mot de passe a expiré de le réinitialiser pendant la procédure d'enregistrement. Vous pouvez autoriser cette opération en ajoutant `iam:ChangePassword` et `iam:GetAccountPasswordPolicy` à l'instruction `DenyAllExceptListedIfNoMFA`. Cependant, nous ne le recommandons pas, car autoriser les utilisateurs à modifier leur mot de passe sans MFA peut poser des problèmes de sécurité.
Si vous avez l'intention d'utiliser cette stratégie pour l'accès par programmation, vous devez appeler [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) pour une authetification auprès de MFA. Pour de plus amples informations, veuillez consulter [Accès sécurisé aux API avec MFA](id_credentials_mfa_configure-api-require.md).

**À quoi sert cette politique ?**
+ L'instruction `AllowViewAccountInfo` permet à l'utilisateur d'afficher les informations au niveau du compte. Ces autorisations doivent se trouver dans leur propre instruction, car elles ne prennent pas en charge ou n'ont pas besoin de spécifier d'ARN de ressource particulier. À la place, les autorisations spécifient `"Resource" : "*"`. Cette instruction contient les actions suivantes qui permettent à l'utilisateur d'afficher des informations spécifiques : 
  + `GetAccountPasswordPolicy` : afficher les exigences de mot de passe du compte lors de la modification de son propre mot de passe utilisateur IAM.
  + `ListVirtualMFADevices` : afficher les détails relatifs à un dispositif MFA virtuel qui est activé pour l'utilisateur.
+ L'instruction `AllowManageOwnPasswords` permet à l'utilisateur de modifier son propre mot de passe. Cette instruction inclut également l'action `GetUser`, qui est requise pour afficher la plupart des informations de la page **My security credentials (Mes informations d'identification de sécurité)**.
+ L'instruction `AllowManageOwnAccessKeys` permet à l'utilisateur de créer, mettre à jour et supprimer ses propres clés d'accès. L'utilisateur récupère peut également récupérer des informations relatives au moment où la clé d'accès spécifiée a été utilisée pour la dernière fois.
+ L'instruction `AllowManageOwnSigningCertificates` permet à l'utilisateur de charger, mettre à jour et supprimer ses propres certificats de signature.
+ L'instruction `AllowManageOwnSSHPublicKeys` permet à l'utilisateur de charger, mettre à jour et supprimer ses propres clés SSH publiques pour CodeCommit.
+ L'instruction `AllowManageOwnGitCredentials` permet à l'utilisateur de créer, mettre à jour et supprimer ses propres informations d'identification Git pour CodeCommit.
+ L'instruction `AllowManageOwnVirtualMFADevice` permet à l'utilisateur de créer son propre dispositif MFA. L'ARN de ressource dans l'instruction autorise uniquement l'utilisateur à créer un dispositif MFA de n'importe quel nom, mais les autres instructions de la politique autorisent uniquement l'utilisateur à connecter le dispositif à l'utilisateur actuellement connecté.
+ L'instruction `AllowManageOwnUserMFA` permet à l'utilisateur de consulter et gérer le dispositif MFA matériel, U2F ou virtuel pour leur propre utilisateur. L'ARN de ressource dans l'instruction autorise uniquement l'accès au propre utilisateur IAM de l'utilisateur. Les utilisateurs ne peuvent pas afficher ni gérer le dispositif MFA pour d'autres utilisateurs. 
+ La `DenyAllExceptListedIfNoMFA` déclaration refuse l'accès à toutes les actions dans tous les AWS services, à l'exception de quelques actions répertoriées, mais ***uniquement si*** l'utilisateur n'est pas connecté avec le MFA. L'instruction utilise une combinaison de `"Deny"` et `"NotAction"` pour refuser explicitement l'accès à toutes les actions non répertoriées. Les éléments répertoriés ne sont pas refusés ou autorisés par cette instruction. Toutefois, les actions sont autorisées par d'autres instructions de la politique. Pour plus d'informations sur la logique de cette instruction, voir [NotAction avec Deny](reference_policies_elements_notaction.md). Si l'utilisateur est connecté avec MFA, le test `Condition` échoue et cette instruction ne refuse aucune action. Dans ce cas, les autorisations de l'utilisateur sont définies par d'autres stratégies ou instructions.

  Cette instruction garantit à l'utilisateur de pouvoir effectuer uniquement les actions répertoriées lorsqu'il n'est pas connecté avec MFA. Par ailleurs, il peut effectuer les actions répertoriées uniquement si une autre instruction ou politique permet l'accès à ces actions. Cela ne permet pas à un utilisateur de créer un mot de passe lors de la connexion, car l'action `iam:ChangePassword` ne doit pas être autorisée sans l'authentification MFA.

  La version `...IfExists` de l'opérateur `Bool` permet de s'assurer que si la clé `aws:MultiFactorAuthPresent` est manquante, la condition renvoie la valeur true. Cela signifie qu'un utilisateur qui accède à une API avec des informations d'identification à long terme, comme une clé d'accès, se voit refuser l'accès aux opérations d'API non IAM.

Cette politique ne permet pas aux utilisateurs d'afficher la page **Users** (Utilisateurs) dans la console IAM, ou d'utiliser cette page pour accéder à leurs propres informations utilisateur. Pour que cela soit possible, ajoutez l'action `iam:ListUsers` à l'instruction `AllowViewAccountInfo` et à l'instruction `DenyAllExceptListedIfNoMFA`. Cette stratégie ne permet pas non plus aux utilisateurs de modifier leur mot de passe sur leur propre page utilisateur. Pour que cela soit possible, ajoutez les actions `iam:GetLoginProfile` et `iam:UpdateLoginProfile` à l'instruction `AllowManageOwnPasswords`. Par ailleurs, pour autoriser un utilisateur à modifier son mot de passe dans sa propre page utilisateur sans se connecter à l'aide de MFA, ajoutez l'action `iam:UpdateLoginProfile` à l'instruction `DenyAllExceptListedIfNoMFA`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# AWS : autorise l'accès spécifique dans un délai spécifique à l'aide de MFA
<a name="reference_policies_examples_aws_mfa-dates"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui utilise plusieurs conditions qui sont évaluées à l'aide d'un opérateur logique `AND`. Il permet l'accès complet au service nommé `SERVICE-NAME-1`, et l'accès aux actions `ACTION-NAME-A` et `ACTION-NAME-B` dans le service nommé `SERVICE-NAME-2`. Ces actions sont autorisées uniquement lorsque l'utilisateur est authentifié à l'aide de l'[authentification multifacteur (Multi-Factor Authentication, MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). L'accès est limité aux actions se produisant entre le 1er juillet 2017 et le 31 décembre 2017 (UTC) inclus. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Pour en savoir plus sur l'utilisation de plusieurs conditions au sein du bloc `Condition` d'une politique IAM, consultez [Plusieurs valeurs dans un élément Condition](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "service-prefix-1:*",
            "service-prefix-2:action-name-a",
            "service-prefix-2:action-name-b"
        ],
        "Resource": "*",
        "Condition": {
            "Bool": {"aws:MultiFactorAuthPresent": true},
            "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
            "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
        }
    }
}
```

------

# AWS : autorise les utilisateurs IAM à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise des utilisateurs IAM à gérer leurs propres informations d’identification sur la page **Informations d’identification de sécurité**. Cette AWS Management Console page affiche les informations du compte, telles que l'identifiant du compte et l'identifiant utilisateur canonique. Les utilisateurs peuvent également consulter et modifier leurs propres mots de passe, clés d'accès, certificats X.509, clés SSH et informations d'identification Git. Cet exemple de politique inclut les autorisations requises pour consulter et modifier toutes les informations de la page *sauf* le dispositif MFA de l'utilisateur. Pour autoriser les utilisateurs à gérer leurs propres informations d'identification avec l'authentification MFA, consultez [AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage.md).

Pour en savoir plus sur comment les utilisateurs peuvent accéder à la page **Informations d’identification de sécurité**, consultez [Comment les utilisateurs IAM modifient leur mot de passe (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**À quoi sert cette politique ? **
+ L'instruction `AllowViewAccountInfo` permet à l'utilisateur d'afficher les informations au niveau du compte. Ces autorisations doivent se trouver dans leur propre instruction, car elles ne prennent pas en charge ou n'ont pas besoin de spécifier d'ARN de ressource particulier. À la place, les autorisations spécifient `"Resource" : "*"`. Cette instruction contient les actions suivantes qui permettent à l'utilisateur d'afficher des informations spécifiques : 
  + `GetAccountPasswordPolicy` : afficher les exigences de mot de passe du compte lors de la modification de son propre mot de passe utilisateur IAM.
  + `GetAccountSummary` : afficher l'ID du compte et l'[ID d'utilisateur canonique](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) du compte.
+ L'instruction `AllowManageOwnPasswords` permet à l'utilisateur de modifier son propre mot de passe. Cette instruction inclut également l'action `GetUser`, qui est requise pour afficher la plupart des informations de la page **My security credentials (Mes informations d'identification de sécurité)**.
+ L'instruction `AllowManageOwnAccessKeys` permet à l'utilisateur de créer, mettre à jour et supprimer ses propres clés d'accès. L'utilisateur récupère peut également récupérer des informations relatives au moment où la clé d'accès spécifiée a été utilisée pour la dernière fois.
+ L'instruction `AllowManageOwnSigningCertificates` permet à l'utilisateur de charger, mettre à jour et supprimer ses propres certificats de signature.
+ L'instruction `AllowManageOwnSSHPublicKeys` permet à l'utilisateur de charger, mettre à jour et supprimer ses propres clés SSH publiques pour CodeCommit.
+ L'instruction `AllowManageOwnGitCredentials` permet à l'utilisateur de créer, mettre à jour et supprimer ses propres informations d'identification Git pour CodeCommit.

Cette politique ne permet pas aux utilisateurs de consulter ni de gérer leurs propres dispositifs MFA. Ils ne peuvent pas afficher la page **Users** (Utilisateurs) dans la console IAM, ou utiliser cette page pour accéder à leurs propres informations utilisateur. Pour que cela soit possible, ajoutez l'action `iam:ListUsers` à l'instruction `AllowViewAccountInfo`. Cette stratégie ne permet pas non plus aux utilisateurs de modifier leur mot de passe sur leur propre page utilisateur. Pour que cela soit possible, ajoutez les actions `iam:CreateLoginProfile`, `iam:DeleteLoginProfile`, `iam:GetLoginProfile` et `iam:UpdateLoginProfile` à l'instruction `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leur dispositif MFA sur la page Informations d’identification de sécurité
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise les utilisateurs IAM authentifiés à l’aide de l’[authentification multifactorielle (MFA)](id_credentials_mfa.md) à gérer leur propre dispositif MFA sur la page **Informations d’identification de sécurité**. Cette AWS Management Console page affiche les informations relatives au compte et à l'utilisateur, mais l'utilisateur ne peut consulter et modifier que son propre dispositif MFA. Pour autoriser les utilisateurs à gérer toutes leurs propres informations d'identification avec l'authentification MFA, consultez [AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage.md).

**Note**  
Si un utilisateur IAM doté de cette politique n'est pas authentifié par MFA, cette politique refuse l'accès à toutes les AWS actions, à l'exception de celles nécessaires pour s'authentifier à l'aide de l'authentification MFA. Pour utiliser l' AWS API AWS CLI et, les utilisateurs IAM doivent d'abord récupérer leur jeton MFA à l'aide de AWS STS [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html)l'opération, puis utiliser ce jeton pour authentifier l'opération souhaitée. D'autres politiques, telles que les politiques basées sur les ressources ou d'autres politiques basées sur l'identité peuvent autoriser des actions dans d'autres services. Cette politique refusera cet accès si l'utilisateur IAM n'est pas authentifié avec MFA.

Pour en savoir plus sur comment les utilisateurs peuvent accéder à la page **Informations d’identification de sécurité**, consultez [Comment les utilisateurs IAM modifient leur mot de passe (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**À quoi sert cette politique ? **
+ L'instruction `AllowViewAccountInfo` permet à l'utilisateur d'afficher les détails relatifs à un dispositif MFA virtuel, qui est activé pour l'utilisateur. Cette autorisation doit se trouver dans sa propre instruction, car elle ne prend pas en charge la spécification d'un ARN de ressource. À la place, vous devez spécifier `"Resource" : "*"`.
+ L'instruction `AllowManageOwnVirtualMFADevice` permet à l'utilisateur de créer son propre dispositif MFA. L'ARN de ressource dans l'instruction autorise uniquement l'utilisateur à créer un dispositif MFA de n'importe quel nom, mais les autres instructions de la politique autorisent uniquement l'utilisateur à connecter le dispositif à l'utilisateur actuellement connecté.
+ L'instruction `AllowManageOwnUserMFA` permet à l'utilisateur de consulter et gérer son propre dispositif MFA matériel, U2F ou virtuel. L'ARN de ressource dans l'instruction autorise uniquement l'accès au propre utilisateur IAM de l'utilisateur. Les utilisateurs ne peuvent pas afficher ni gérer le dispositif MFA pour d'autres utilisateurs.
+ La `DenyAllExceptListedIfNoMFA` déclaration refuse l'accès à toutes les actions dans tous les AWS services, à l'exception de quelques actions répertoriées, mais ***uniquement si*** l'utilisateur n'est pas connecté avec le MFA. L'instruction utilise une combinaison de `"Deny"` et `"NotAction"` pour refuser explicitement l'accès à toutes les actions non répertoriées. Les éléments répertoriés ne sont pas refusés ou autorisés par cette instruction. Toutefois, les actions sont autorisées par d'autres instructions de la politique. Pour plus d'informations sur la logique de cette instruction, consultez la section [NotAction avec Deny](reference_policies_elements_notaction.md). Si l'utilisateur est connecté avec MFA, le test `Condition` échoue et cette instruction ne refuse aucune action. Dans ce cas, les autorisations de l'utilisateur sont définies par d'autres stratégies ou instructions.

  Cette instruction garantit à l'utilisateur de pouvoir effectuer uniquement les actions répertoriées lorsqu'il n'est pas connecté avec MFA. Par ailleurs, il peut effectuer les actions répertoriées uniquement si une autre instruction ou politique permet l'accès à ces actions.

  La version `...IfExists` de l'opérateur `Bool` permet de s'assurer que si la clé `aws:MultiFactorAuthPresent` est manquante, la condition renvoie la valeur true. Cela signifie qu'un utilisateur qui accède à une opération d'API avec des informations d'identification à long terme, comme une clé d'accès, se voit refuser l'accès aux opérations d'API non IAM.

Cette politique ne permet pas aux utilisateurs d'afficher la page **Users** (Utilisateurs) dans la console IAM, ou d'utiliser cette page pour accéder à leurs propres informations utilisateur. Pour que cela soit possible, ajoutez l'action `iam:ListUsers` à l'instruction `AllowViewAccountInfo` et à l'instruction `DenyAllExceptListedIfNoMFA`.

**Avertissement**  
N'ajoutez pas d'autorisations pour supprimer un dispositif MFA sans authentification MFA. Les utilisateurs dotés de cette politique peuvent tenter de s'attribuer un dispositif MFA virtuel et recevoir une erreur indiquant qu'ils ne sont pas autorisés à effectuer `iam:DeleteVirtualMFADevice`. Si cela se produit, **n'ajoutez pas** cette autorisation à l'instruction `DenyAllExceptListedIfNoMFA`. Les utilisateurs qui ne sont pas authentifiés avec MFA ne doivent jamais être autorisés à supprimer un dispositif MFA. Les utilisateurs peuvent consulter cette erreur s'ils ont précédemment commencé à affecter un dispositif MFA virtuel à leur utilisateur et annulé le processus. Pour résoudre ce problème, vous ou un autre administrateur devez supprimer le dispositif MFA virtuel existant de l'utilisateur à l'aide de l'API AWS CLI or AWS . Pour de plus amples informations, veuillez consulter [Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
            }
        }
    ]
}
```

------

# AWS : autorise les utilisateurs IAM à modifier leur propre mot de passe pour la console sur la page Informations d’identification de sécurité
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-password-only"></a>

Cet exemple montre comment créer une politique basée sur l'identité qui permet aux utilisateurs IAM de modifier leur propre AWS Management Console mot de passe sur la page Informations d'identification de **sécurité**. Cette AWS Management Console page affiche les informations relatives au compte et à l'utilisateur, mais l'utilisateur ne peut accéder qu'à son propre mot de passe. Pour autoriser les utilisateurs à gérer toutes leurs propres informations d'identification avec l'authentification MFA, consultez [AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage.md). Pour autoriser les utilisateurs à gérer leurs propres informations d'identification sans utiliser l'authentification MFA, consultez [AWS : autorise les utilisateurs IAM à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Pour en savoir plus sur comment les utilisateurs peuvent accéder à la page **Informations d’identification de sécurité**, consultez [Comment les utilisateurs IAM modifient leur mot de passe (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**À quoi sert cette politique ? **
+ L'instruction `ViewAccountPasswordRequirements` autorise l'utilisateur à afficher les exigences de mot de passe du compte lors de la modification de son propre mot de passe utilisateur IAM.
+ L'instruction `ChangeOwnPassword` permet à l'utilisateur de modifier son propre mot de passe. Cette instruction inclut également l'action `GetUser`, qui est requise pour afficher la plupart des informations de la page **My security credentials (Mes informations d'identification de sécurité)**.

Cette politique ne permet pas aux utilisateurs d'afficher la page **Users** (Utilisateurs) dans la console IAM, ou d'utiliser cette page pour accéder à leurs propres informations utilisateur. Pour que cela soit possible, ajoutez l'action `iam:ListUsers` à l'instruction `ViewAccountPasswordRequirements`. Cette stratégie ne permet pas non plus aux utilisateurs de modifier leur mot de passe sur leur propre page utilisateur. Pour que cela soit possible, ajoutez les actions `iam:GetLoginProfile` et `iam:UpdateLoginProfile` à l'instruction `ChangeOwnPasswords`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS : autorise les utilisateurs IAM à gérer leurs propres mot de passe, clés d’accès et clés publiques SSH sur la page Informations d’identification de sécurité
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise des utilisateurs IAM à gérer leurs propres mot de passe, clés d’accès et certificats X.509 sur la page **Informations d’identification de sécurité**. Cette page AWS Management Console affiche les informations relatives au compte, telles que l'ID de compte et l'ID d'utilisateur canonique. Les utilisateurs peuvent également consulter et modifier leurs propres mots de passe, clés d'accès, dispositifs MFA, certificats X.509, clés SSH et informations d'identification Git. Cet exemple de politique inclut les autorisations requises pour consulter et modifier uniquement le mot de passe, les clés d'accès et le certificat X.509. Pour autoriser les utilisateurs à gérer toutes leurs propres informations d'identification avec l'authentification MFA, consultez [AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage.md). Pour autoriser les utilisateurs à gérer leurs propres informations d'identification sans utiliser l'authentification MFA, consultez [AWS : autorise les utilisateurs IAM à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Pour en savoir plus sur comment les utilisateurs peuvent accéder à la page **Informations d’identification de sécurité**, consultez [Comment les utilisateurs IAM modifient leur mot de passe (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**À quoi sert cette politique ? **
+ L'instruction `AllowViewAccountInfo` permet à l'utilisateur d'afficher les informations au niveau du compte. Ces autorisations doivent se trouver dans leur propre instruction, car elles ne prennent pas en charge ou n'ont pas besoin de spécifier d'ARN de ressource particulier. À la place, les autorisations spécifient `"Resource" : "*"`. Cette instruction contient les actions suivantes qui permettent à l'utilisateur d'afficher des informations spécifiques : 
  + `GetAccountPasswordPolicy` : afficher les exigences de mot de passe du compte lors de la modification de son propre mot de passe utilisateur IAM.
  + `GetAccountSummary` : afficher l'ID du compte et l'[ID d'utilisateur canonique](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) du compte.
+ L'instruction `AllowManageOwnPasswords` permet à l'utilisateur de modifier son propre mot de passe. Cette instruction inclut également l'action `GetUser`, qui est requise pour afficher la plupart des informations de la page **My security credentials (Mes informations d'identification de sécurité)**.
+ L'instruction `AllowManageOwnAccessKeys` permet à l'utilisateur de créer, mettre à jour et supprimer ses propres clés d'accès. L'utilisateur récupère peut également récupérer des informations relatives au moment où la clé d'accès spécifiée a été utilisée pour la dernière fois.
+ L'instruction `AllowManageOwnSSHPublicKeys` permet à l'utilisateur de charger, mettre à jour et supprimer ses propres clés SSH publiques pour CodeCommit.

Cette politique ne permet pas aux utilisateurs de consulter ni de gérer leurs propres dispositifs MFA. Ils ne peuvent pas afficher la page **Users** (Utilisateurs) dans la console IAM, ou utiliser cette page pour accéder à leurs propres informations utilisateur. Pour que cela soit possible, ajoutez l'action `iam:ListUsers` à l'instruction `AllowViewAccountInfo`. Cette stratégie ne permet pas non plus aux utilisateurs de modifier leur mot de passe sur leur propre page utilisateur. Pour que cela soit possible, ajoutez les actions `iam:GetLoginProfile` et `iam:UpdateLoginProfile` à l'instruction `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: refuse l'accès AWS en fonction de la région demandée
<a name="reference_policies_examples_aws_deny-requested-region"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les actions en dehors des régions spécifiées avec la [clé de condition `aws:RequestedRegion`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), à l'exception des actions dans les services spécifiés avec `NotAction`. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Cette politique utilise l'élément `NotAction` avec l'effet `Deny`, qui refuse explicitement l'accès à toutes les actions *non* répertoriées dans l'instruction. Les actions relatives à l' CloudFrontIAM, à Route 53 et Support aux services ne doivent pas être refusées, car il s'agit de services AWS mondiaux populaires dotés d'un point de terminaison unique situé physiquement dans la `us-east-1` région. Étant donné que toutes les demandes adressées à ces services sont effectuées vers la région `us-east-1`, les demandes sont refusées sans l'élément `NotAction`. Modifiez cet élément pour inclure les actions pour d'autres services AWS globaux que vous utilisez, tels que `budgets`, `globalaccelerator`, `importexport`, `organizations` ou `waf`. Certains autres services internationaux, tels que Amazon Q Developer dans les applications de chat AWS Device Farm, sont des services mondiaux dont les points de terminaison sont physiquement situés dans la `us-west-2` région. Pour en savoir plus sur tous les services qui ont un seul point de terminaison global, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html) dans le document *Références générales AWS*. Pour de plus amples informations sur l'utilisation de l'élément `NotAction` avec l'effet `Deny`, veuillez consulter [Éléments de politique JSON IAM : NotAction](reference_policies_elements_notaction.md). 

**Important**  
Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}
```

------

# AWS: refuse l'accès à la AWS base de l'adresse IP source
<a name="reference_policies_examples_aws_deny-ip"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les AWS actions du compte lorsque la demande provient de *principaux situés en dehors de la plage d'*adresses IP spécifiée. Cette politique est utile lorsque les adresses IP de votre entreprise se situent dans les plages d'adresses IP spécifiées. Dans cet exemple, la demande sera rejetée sauf si elle provient de la plage CIDR 192.0.2.0/24 ou 203.0.113.0/24. La politique ne refuse pas les demandes effectuées par les AWS services utilisateurs, [Transmission des sessions d'accès](access_forward_access_sessions.md) car l'adresse IP du demandeur d'origine est préservée.

Soyez prudent lorsque vous utilisez des conditions négatives dans la même instruction de politique comme `"Effect": "Deny"`. Dans ce cas, les actions spécifiées dans l'instruction de politique sont explicitement refusées dans toutes les conditions *sauf* celles spécifiées.

**Important**  
Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques. 

Lorsque d'autres politiques autorisent des actions, les principaux peuvent effectuer des demandes à partir de la plage d'adresses IP. Un AWS service peut également effectuer des demandes en utilisant les informations d'identification du principal. Lorsqu'un principal effectue une demande en dehors de la plage d'adresses IP, la demande est refusée.

Pour de plus amples informations sur l'utilisation de la clé de condition `aws:SourceIp`, en particulier sur le moment où `aws:SourceIp` risque de ne pas fonctionne dans votre politique, veuillez consulter [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}
```

------

# AWS: Refusez l'accès aux ressources Amazon S3 en dehors de votre compte, sauf AWS Data Exchange
<a name="reference_policies_examples_resource_account_data_exch"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les ressources AWS qui n'appartiennent pas à votre compte, à l'exception des ressources nécessaires au fonctionnement normal. AWS Data Exchange Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

Vous pouvez créer une politique similaire pour restreindre l'accès aux ressources au sein d'une organisation ou d'une unité organisationnelle, tout en comptabilisant les ressources AWS Data Exchange détenues à l'aide des clés de condition `aws:ResourceOrgPaths` et`aws:ResourceOrgID`.

Si vous l'utilisez AWS Data Exchange dans votre environnement, le service crée et interagit avec des ressources telles que les compartiments Amazon S3 appartenant au compte de service. Par exemple, AWS Data Exchange envoie des demandes aux compartiments Amazon S3 appartenant au AWS Data Exchange service pour le compte du principal IAM (utilisateur ou rôle) invoquant le. AWS Data Exchange APIs Dans ce cas `aws:ResourceAccount``aws:ResourceOrgPaths`, l'utilisation ou l'`aws:ResourceOrgID`application d'une politique sans tenir compte des ressources AWS Data Exchange détenues empêche l'accès aux compartiments appartenant au compte de service.
+ Instruction `DenyAllAwsResourcesOutsideAccountExceptS3` utilise le l'élément `NotAction` avec l'effet [Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) (Refuser) qui refuse explicitement l'accès à toutes les actions non répertoriées dans l'instruction et qui n'appartiennent pas non plus au compte répertorié. L'élément `NotAction` indique les exceptions à cette instruction. Ces actions constituent une exception à cette déclaration, car si elles sont effectuées sur des ressources créées par AWS Data Exchange, la politique les refuse.
+ L'instruction `DenyAllS3ResoucesOutsideAccountExceptDataExchange` utilise une combinaison des clés de condition `ResourceAccount` et `CalledVia` pour refuser l'accès aux trois actions Amazon S3 exclues dans la déclaration précédente. L'instruction refuse les actions si les ressources n'appartiennent pas au compte répertorié et si le service appelant n'est pas AWS Data Exchange. L'instruction ne refuse pas les actions si la ressource appartient au compte répertorié ou si le principal de service répertorié, `dataexchange.amazonaws.com`, effectue les opérations.

**Important**  
Cette politique ne permet aucune action. Elle utilise l'effet `Deny`, qui refuse explicitement l'accès à toutes les ressources répertoriées dans l'instruction n'appartenant pas au compte répertorié. Utilisez cette politique en combinaison avec d'autres politiques qui autorisent l'accès à des ressources spécifiques.

L'exemple suivant montre comment vous pouvez configurer la politique pour autoriser l'accès aux compartiments Amazon S3 requis.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3",
      "Effect": "Deny",
      "NotAction": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    },
    {
      "Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange",
      "Effect": "Deny",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        },
        "ForAllValues:StringNotEquals": {
          "aws:CalledVia": [
            "dataexchange.amazonaws.com"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Data Pipeline: refuse l'accès aux DataPipeline pipelines qu'un utilisateur n'a pas créés
<a name="reference_policies_examples_datapipeline_not-owned"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès aux pipelines qu'un utilisateur n'a pas créés. Si la valeur du champ `PipelineCreator` correspond au nom d'utilisateur IAM, alors les actions spécifiées ne sont pas refusées. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI

**Important**  
Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExplicitDenyIfNotTheOwner",
            "Effect": "Deny",
            "Action": [
                "datapipeline:ActivatePipeline",
                "datapipeline:AddTags",
                "datapipeline:DeactivatePipeline",
                "datapipeline:DeletePipeline",
                "datapipeline:DescribeObjects",
                "datapipeline:EvaluateExpression",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:PollForTask",
                "datapipeline:PutPipelineDefinition",
                "datapipeline:QueryObjects",
                "datapipeline:RemoveTags",
                "datapipeline:ReportTaskProgress",
                "datapipeline:ReportTaskRunnerHeartbeat",
                "datapipeline:SetStatus",
                "datapipeline:SetTaskStatus",
                "datapipeline:ValidatePipelineDefinition"
            ],
            "Resource": ["*"],
            "Condition": {
                "StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB : autorise l'accès à une table spécifique
<a name="reference_policies_examples_dynamodb_specific-table"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'accès complet à la table DynamoDB `MyTable`. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

**Important**  
Cette politique autorise toutes les actions pouvant être effectuées sur une table DynamoDB. Pour vérifier ces actions, consultez [Autorisations d'API Amazon DynamoDB : référence des actions, ressources et conditions](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/api-permissions-reference.html) dans le *Guide du développeur Amazon DynamoDB*. Vous pouvez fournir les mêmes autorisations en répertoriant chaque action individuelle. Toutefois, si vous utilisez le caractère générique (`*`) dans l'élément `Action`, par exemple `"dynamodb:List*"`, vous n'avez pas besoin de mettre à jour votre politique si ajoute une nouvelle action Liste. 

Cette politique autorise les actions DynamoDB uniquement sur les tables existantes et dont le nom est spécifié. Pour permettre à vos utilisateurs `Read` d'accéder à tous les éléments de DynamoDB, vous pouvez également joindre [AmazonDynamoDBReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess) AWS la politique gérée.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "dynamodb:List*",
                "dynamodb:DescribeReservedCapacity*",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTimeToLive"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGet*",
                "dynamodb:DescribeStream",
                "dynamodb:DescribeTable",
                "dynamodb:Get*",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWrite*",
                "dynamodb:CreateTable",
                "dynamodb:Delete*",
                "dynamodb:Update*",
                "dynamodb:PutItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/MyTable"
        }
    ]
}
```

------

# Amazon DynamoDB : autorise l'accès à des attributs spécifiques
<a name="reference_policies_examples_dynamodb_attributes"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'accès aux attributs DynamoDB spécifiques. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

L'exigence `dynamodb:Select` empêche l'action d'API de retourner les attributs qui ne sont pas autorisés, par exemple à partir d'une projection d'index. Pour en savoir plus sur les clés de condition DynamoDB, consultez [Spécification de conditions : utilisation de clés de condition](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) dans le *Guide du développeur Amazon DynamoDB*. Pour en savoir plus sur l'utilisation de plusieurs conditions ou de plusieurs clés de condition dans le `Condition` bloc d'une politique IAM, consultez [Plusieurs valeurs dans un élément Condition](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem",
                "dynamodb:Query",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/table-name"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:Attributes": [
                        "column-name-1",
                        "column-name-2",
                        "column-name-3"
                    ]
                },
                "StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB : autorise l'accès au niveau de l'élément à DynamoDB en fonction d'un ID Amazon Cognito
<a name="reference_policies_examples_dynamodb_items"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'accès au niveau de l'élément à la table DynamoDB `MyTable` en fonction de l'ID d'utilisateur de la réserve d'identités Amazon Cognito. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Pour utiliser cette politique, vous devez structurer votre table DynamoDB pour que l'ID d'utilisateur de la réserve d'identités Amazon Cognito soit la clé de partition. Pour plus d'informations, consultez [Création d'une table](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.CreateTable) dans le *Guide du développeur Amazon DynamoDB*.

Pour en savoir plus sur les clés de condition DynamoDB, consultez [Spécification de conditions : utilisation de clés de condition](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) dans le *Guide du développeur Amazon DynamoDB*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:Query",
                "dynamodb:UpdateItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/MyTable"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": ["${cognito-identity.amazonaws.com:sub}"]
                }
            }
        }
    ]
}
```

------

# Amazon EC2 : attacher ou détacher des volumes Amazon EBS aux instances EC2 en fonction des balises
<a name="reference_policies_examples_ec2_ebs-owner"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise les propriétaires de volume EBS à attacher ou détacher leurs volumes EBS définis à l'aide de la balise `VolumeUser` aux instances EC2 qui sont balisées en tant qu'instances de développement (`Department=Development`). Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Pour de plus amples informations sur la création de politiques IAM pour contrôler l’accès aux ressources Amazon EC2, consultez [Contrôle de l’accès aux ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html) dans le *Guide de l’utilisateur Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Department": "Development"}
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/VolumeUser": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon EC2 : autorise le lancement d'instances EC2 dans un sous-réseau spécifique, par programmation et dans la console
<a name="reference_policies_examples_ec2_instances-subnet"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui permet de répertorier les informations de tous les objets EC2 et de lancer des instances EC2 dans un sous-réseau spécifique. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:GetConsole*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*:*:subnet/subnet-subnet-id",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*::image/ami-*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}
```

------

# Amazon EC2 : autorise la gestion des groupes de sécurité EC2 avec une paire spécifique d’étiquettes de valeur clé de manière programmatique et dans la console
<a name="reference_policies_examples_ec2_securitygroups-vpc"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui accorde aux utilisateurs l'autorisation de prendre certaines mesures pour les groupes de sécurité qui ont la même étiquette. Cette politique accorde des autorisations pour afficher les groupes de sécurité dans la console Amazon EC2, ajouter et supprimer des règles entrantes et sortantes, et répertorier et modifier les descriptions de règles pour les groupes de sécurité existants portant l'étiquette `Department=Test`. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
         "ec2:DescribeSecurityGroups",
         "ec2:DescribeSecurityGroupRules",
         "ec2:DescribeTags"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:AuthorizeSecurityGroupIngress", 
         "ec2:RevokeSecurityGroupIngress", 
         "ec2:AuthorizeSecurityGroupEgress", 
         "ec2:RevokeSecurityGroupEgress", 
         "ec2:ModifySecurityGroupRules",
         "ec2:UpdateSecurityGroupRuleDescriptionsIngress", 
         "ec2:UpdateSecurityGroupRuleDescriptionsEgress"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group/*"
      ],
      "Condition": {
         "StringEquals": {
            "aws:ResourceTag/Department": "Test"
         }
      }
     },     
     {
      "Effect": "Allow",
      "Action": [
         "ec2:ModifySecurityGroupRules"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group-rule/*"
      ]
     }
   ]
}
```

------

# Amazon EC2 : autorise le démarrage ou l'arrêt des instances EC2 balisées par un utilisateur, par programmation et dans la console
<a name="reference_policies_examples_ec2_tag-owner"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un utilisateur IAM à démarrer ou arrêter des instances EC2, mais uniquement si la balise d'instance `Owner` a la valeur du nom d'utilisateur de cet utilisateur. Cette politique définit des autorisations pour l'accès à la console et par programmation.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

# EC2: démarrer ou arrêter des instances en fonction des balises
<a name="reference_policies_examples_ec2-start-stop-tags"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise le démarrage ou l'arrêt d'instances avec la paire clé-valeur de balise `Project = DataAnalytics`, mais uniquement par les principaux avec la paire clé-valeur de balise `Department = Data`. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

La condition de la politique renvoie la valeur true si les deux parties de la condition sont true. L'instance doit posséder la balise `Project=DataAnalytics`. En outre, le principal IAM (utilisateur ou rôle) qui fait la demande doit posséder la balise `Department=Data`. 

**Note**  
À titre de bonne pratique, associez les politiques avec la clé de condition `aws:PrincipalTag` aux groupes IAM pour le cas où certains utilisateurs pourraient avoir la balise spécifiée et d'autres pas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "StartStopIfTags",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "DataAnalytics",
                    "aws:PrincipalTag/Department": "Data"
                }
            }
        }
    ]
}
```

------

# EC2 : démarrer ou arrêter les instances en fonction des balises de ressources et de principaux correspondantes
<a name="reference_policies_examples_ec2-start-stop-match-tags"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un principal à démarrer ou arrêter une instance Amazon EC2 lorsque la balise de ressource de l'instance et la balise du principal ont la même valeur pour la clé de balise `CostCenter`. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

**Note**  
À titre de bonne pratique, associez les politiques avec la clé de condition `aws:PrincipalTag` aux groupes IAM pour le cas où certains utilisateurs pourraient avoir la balise spécifiée et d'autres pas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "ec2:startInstances",
            "ec2:stopInstances"
        ],
        "Resource": "*",
        "Condition": {"StringEquals": 
            {"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"}}
    }
}
```

------

# Amazon EC2 : autorise l'accès EC2 complet dans une région spécifique, par programmation et dans la console
<a name="reference_policies_examples_ec2_region"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un accès EC2 total dans une région spécifique. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). Pour obtenir la liste des codes de région, veuillez consulter [Régions disponibles](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions) dans le *Guide de l'utilisateur Amazon EC2*.

Sinon, vous pouvez utiliser la clé de condition générale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), qui est prise en charge par toutes les actions d'API Amazon EC2. Pour de plus amples informations, veuillez consulter la section [Exemple : restriction de l'accès à une région spécifique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region) dans le *Guide de l'utilisateur d'Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-2"
                }
            }
        }
    ]
}
```

------

# Amazon EC2 : autorise le démarrage ou l'arrêt d'une instance EC2 et la modification d'un groupe de sécurité, par programmation et dans la console
<a name="reference_policies_examples_ec2_instance-securitygroup"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise le démarrage ou l'arrêt d'une instance EC2 spécifique, ainsi que la modification d'un groupe de sécurité spécifique. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupReferences",
        "ec2:DescribeStaleSecurityGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/i-instance-id",
        "arn:aws:ec2:*:*:security-group/sg-security-group-id"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Amazon EC2 : nécessite MFA (GetSessionToken) pour des opérations EC2 spécifiques
<a name="reference_policies_examples_ec2_require-mfa"></a>

Cet exemple montre comment créer une politique basée sur l'identité qui permet un accès complet à toutes les opérations d' AWS API dans Amazon EC2. Cependant, il refuse explicitement l'accès aux opérations d'API `TerminateInstances` et `StopInstances` si l'utilisateur n'est pas authentifié à l'aide de l'[authentification MFA](id_credentials_mfa.md). Pour le faire par programmation, l'utilisateur doit inclure des valeurs `SerialNumber` et `TokenCode` facultatives lors de l'appel de l'opération `GetSessionToken`. Cette opération renvoie les informations d'identification temporaires qui ont été authentifiées à l'aide de MFA. Pour en savoir plus GetSessionToken, consultez[Demande d’informations d’identification temporaires pour les utilisateurs dans des environnements non fiables](id_credentials_temp_request.md#api_getsessiontoken).

À quoi sert cette politique ?
+ L'instruction `AllowAllActionsForEC2` autorise toutes les actions Amazon EC2.
+ L'instruction `DenyStopAndTerminateWhenMFAIsNotPresent` rejette les actions `StopInstances` et `TerminateInstances` lorsque le contexte de MFA est manquant. Cela signifie que les actions sont refusées lorsque le contexte d'authentification multi-facteur est manquant (c'est-à-dire, quand l'authentification MFA n'a pas été utilisée). Un refus remplace l'autorisation.

**Note**  
Le contrôle de la condition `MultiFactorAuthPresent` de l'instruction `Deny` ne doit pas être `{"Bool":{"aws:MultiFactorAuthPresent":false}}`, car cette clé n'est pas présente et ne peut pas être évaluée quand l'authentification MFA n'est pas utilisée. Utilisez donc plutôt le contrôle `BoolIfExists` pour voir si la clé est présente avant de vérifier la valeur. Pour de plus amples informations, veuillez consulter [... IfExists opérateurs de conditions](reference_policies_elements_condition_operators.md#Conditions_IfExists).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllActionsForEC2",
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
            "Effect": "Deny",
            "Action": [
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": false}
            }
        }
    ]
}
```

------

# Amazon EC2 : limite la suspension des instances EC2 à une plage d'adresses IP
<a name="reference_policies_examples_ec2_terminate-ip"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui limite les instances EC2 en permettant l'action, mais en refusant explicitement l'accès lorsque la demande est externe à la plage d'adresses IP spécifiée. Cette politique est utile lorsque les adresses IP de votre entreprise se situent dans les plages d'adresses IP spécifiées. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Si cette politique est utilisée en combinaison avec d'autres politiques autorisant l'`ec2:TerminateInstances`action (telles que la politique EC2 FullAccess AWS gérée par [Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)), l'accès est refusé. En effet, une instruction de refus explicite est prioritaire dans l'autorisation des instructions. Pour de plus amples informations, veuillez consulter [Comment la logique du code d' AWS application évalue les demandes d'autorisation ou de refus d'accès](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Important**  
La clé de `aws:SourceIp` condition refuse l'accès à un Service AWS, tel que AWS CloudFormation, qui passe des appels en votre nom. Pour de plus amples informations sur l'utilisation de la clé de condition `aws:SourceIp`, veuillez consulter [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}
```

------

# IAM : Accès à l'API du simulateur de politique
<a name="reference_policies_examples_iam_policy-sim"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'utilisation de l'API du simulateur de politique pour les politiques attachées à un utilisateur, groupe d'utilisateurs ou rôle dans l' Compte AWS actuel. Cette politique autorise également d'accéder à la simulation moins sensible des politiques transmises à l'API sous forme de chaînes. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForCustomPolicy",
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**Note**  
Pour autoriser un utilisateur à accéder à la console du simulateur de politiques afin de simuler des politiques associées à un utilisateur, à un groupe ou à un rôle dans le courant Compte AWS, consultez[IAM : Accès à la console du simulateur de politiques](reference_policies_examples_iam_policy-sim-console.md).

# IAM : Accès à la console du simulateur de politiques
<a name="reference_policies_examples_iam_policy-sim-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'utilisation de la console du simulateur de politique pour les politiques attachées à un utilisateur, groupe d'utilisateurs ou rôle dans l' Compte AWS actuel. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI

[Vous pouvez accéder à la console IAM Policy Simulator à l'adresse suivante :/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroups",
                "iam:ListGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

# IAM : endosser des rôles qui ont une balise spécifique
<a name="reference_policies_examples_iam-assume-tagged-role"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un utilisateur IAM à assumer des rôles avec la paire clé-valeur de balise `Project = ExampleCorpABC`. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

Si un rôle avec cette balise existe dans le même compte que l'utilisateur, l'utilisateur peut endosser ce rôle. Si un rôle avec cette balise existe dans un compte autre que celui de l'utilisateur, il a besoin d'autorisations supplémentaires. La politique de confiance du rôle entre comptes doit également autoriser l'utilisateur ou tous les membres du compte de l'utilisateur à endosser le rôle. Pour de plus amples informations sur l'utilisation des rôles pour l'accès entre comptes, veuillez consulter [Accès pour un utilisateur IAM à un autre utilisateur Compte AWS dont vous êtes le propriétaire](id_roles_common-scenarios_aws-accounts.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeTaggedRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
            }
        }
    ]
}
```

------

# IAM : autorise et refuse l'accès à plusieurs services par programmation et dans la console
<a name="reference_policies_examples_iam_multiple-services-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un accès total à plusieurs services, ainsi qu'un accès autogéré limité dans IAM. Cela refuse également aux utilisateurs l'accès au compartiment des journaux Amazon S3 `logs` ou à l'instance Amazon EC2 `i-1234567890abcdef0` Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

**Avertissement**  
Cette politique permet un accès total à toutes les actions et ressources dans plusieurs services. Cette politique doit être appliquée uniquement aux administrateurs de confiance.

Vous pouvez utiliser cette politique comme une limite des autorisations pour définir les autorisations maximales qu'une politique basée sur les identités peut accorder à un utilisateur IAM. Pour plus d’informations, veuillez consulter [Délégation de responsabilité à d'autres utilisateurs à l'aide des limites d'autorisations](access_policies_boundaries.md#access_policies_boundaries-delegate). Lorsque la politique est utilisée comme une limite des autorisations pour un utilisateur, les instructions définissent les limites suivantes :
+ L'instruction `AllowServices` autorise un accès complet au service AWS spécifié. Cela signifie que les nouvelles actions de l'utilisateur dans ces services sont uniquement limitées par les politiques d'autorisations qui lui sont attachées.
+ L'instruction `AllowIAMConsoleForCredentials` autorise l'accès pour répertorier tous les utilisateurs IAM. Cet accès est nécessaire pour accéder à la page **Utilisateurs ** dans la AWS Management Console. Il permet également d'afficher les exigences de mot de passe pour le compte, ce qui est nécessaire pour que l'utilisateur modifie son mot de passe.
+ L'instruction `AllowManageOwnPasswordAndAccessKeys` autorise les utilisateurs à gérer uniquement leur propre mot de passe de console et les clés d'accès par programmation. C'est important, car si une autre politique accorde à un utilisateur l'accès complet à IAM, cet utilisateur peut ensuite modifier ses propres autorisations ou celles d'autres utilisateurs. Cette instruction évite ce genre de problème.
+ L'instruction `DenyS3Logs` refuse explicitement l'accès au compartiment `logs`. Cette politique applique à l'entreprise des restrictions sur l'utilisateur.
+ L'instruction `DenyEC2Production` refuse explicitement l'accès à l'instance `i-1234567890abcdef0`.

Cette politique n'autorise pas l'accès à d'autres services ou actions. Lorsque la politique est utilisée comme limite d'autorisations pour un utilisateur, même si d'autres politiques associées à l'utilisateur autorisent ces actions, AWS refuse la demande.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*LoginProfile*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

# IAM : ajouter une balise spécifique à un utilisateur avec une balise spécifique
<a name="reference_policies_examples_iam-add-tag"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'ajout de la clé de balise `Department` avec les valeurs de balise `Marketing`, `Development` ou `QualityAssurance` à un utilisateur IAM. Cet utilisateur doit déjà inclure la paire clé-valeur de la balise `JobFunction = manager`. Vous pouvez utiliser cette politique pour exiger qu'un gestionnaire appartienne à un seul des trois départements. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

L'instruction `ListTagsForAllUsers` permet d'afficher les balises pour tous les utilisateurs de votre compte. 

La première condition de l'instruction `TagManagerWithSpecificDepartment` utilise l'opérateur de condition `StringEquals`. La condition renvoie la valeur true si les deux parties de la condition sont true. L'utilisateur à baliser doit déjà posséder la balise `JobFunction=Manager`. La demande doit inclure la clé de balise `Department` avec l'une des valeurs de balise répertoriées. 

La deuxième condition utilise l'opérateur de condition `ForAllValues:StringEquals`. La condition renvoie la valeur true si toutes les clés de balise dans la demande correspondent à la clé dans la politique. Cela signifie que la seule clé de balise dans la demande doit être `Department`. Pour plus d'informations sur l'utilisation de `ForAllValues`, consultez [Définir les opérateurs pour les clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}
```

------

# IAM : ajouter une balise spécifique avec des valeurs spécifiques
<a name="reference_policies_examples_iam-add-tag-user-role"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'ajout d'uniquement la clé de balise `CostCenter`, et soit de la valeur de balise `A-123`, soit de la valeur de balise `B-456` à n'importe quel utilisateur ou rôle IAM. Vous pouvez utiliser cette politique pour limiter le balisage à une clé de balise spécifique et de définir les valeurs de balise. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

L'instruction `ConsoleDisplay` permet d'afficher les balises pour tous les utilisateurs et rôles de votre compte. 

La première condition de l'instruction `AddTag` utilise l'opérateur de condition `StringEquals`. La condition renvoie la valeur true si la demande inclut la clé de balise `CostCenter` avec l'une des valeurs de balise répertoriées. 

La deuxième condition utilise l'opérateur de condition `ForAllValues:StringEquals`. La condition renvoie la valeur true si toutes les clés de balise dans la demande correspondent à la clé dans la politique. Cela signifie que la seule clé de balise dans la demande doit être `CostCenter`. Pour plus d'informations sur l'utilisation de `ForAllValues`, consultez [Définir les opérateurs pour les clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}
```

------

# IAM : créer des utilisateurs uniquement avec les balises spécifiques
<a name="reference_policies_examples_iam-new-user-tag"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise la création d'utilisateurs IAM, mais uniquement avec l'une des clés de balise `Department` et `JobFunction`, ou les deux. La clé de balise `Department` doit avoir la valeur de balise `Development` ou `QualityAssurance`. La clé de balise `JobFunction` doit avoir la valeur de balise `Employee`. Vous pouvez utiliser cette politique pour exiger que les nouveaux utilisateurs aient une fonction et un service spécifiques. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

La première condition de l'instruction utilise l'opérateur de condition `StringEqualsIfExists`. Si une balise avec la clé `JobFunction` ou `Department` est présente dans la demande, la balise doit avoir la valeur spécifiée. Si aucune clé n'est présente, cette condition est évaluée comme true. Le seul moyen selon lequel la condition est évaluée en tant que false est si l'une des clés de condition spécifiées est présente dans la demande, mais possède une valeur différente de celles autorisées. Pour plus d'informations sur l'utilisation de `IfExists`, consultez [... IfExists opérateurs de conditions](reference_policies_elements_condition_operators.md#Conditions_IfExists).

La deuxième condition utilise l'opérateur de condition `ForAllValues:StringEquals`. La condition renvoie la valeur true s'il existe une correspondance entre chacune des clés de balises spécifiées dans la demande et au moins une valeur dans la politique. Cela signifie que toutes les balises dans la demande doivent être dans cette liste. Toutefois, la demande peut inclure une seule des balises dans la liste. Par exemple, vous pouvez créer un utilisateur IAM avec la balise `Department=QualityAssurance` uniquement. Toutefois, vous ne pouvez pas créer un utilisateur IAM avec les balises `JobFunction=employee` et `Project=core`. Pour plus d'informations sur l'utilisation de `ForAllValues`, consultez [Définir les opérateurs pour les clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM : générer et extraire des rapports sur les informations d'identification IAM
<a name="reference_policies_examples_iam-credential-report"></a>

Cet exemple montre comment créer une politique basée sur l'identité qui permet aux utilisateurs de générer et de télécharger un rapport répertoriant tous les utilisateurs IAM dans leur Compte AWS Le rapport indique également le statut de plusieurs informations d'identification de l'utilisateur, y compris les mots de passe, les clés d'accès, les dispositifs MFA et les certificats de signature. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI

Pour de plus amples informations sur les rapports d'informations d'identification, veuillez consulter [Générez des rapports d'identification pour votre Compte AWS](id_credentials_getting-report.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:GetCredentialReport"
        ],
        "Resource": "*"
    }
}
```

------

# IAM : autorise la gestion des membres d'un groupe par programmation et dans la console
<a name="reference_policies_examples_iam_manage-group-membership"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise la mise à jour de l'appartenance au groupe appelé `MarketingTeam`. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

À quoi sert cette politique ?
+ L'instruction `ViewGroups` permet à l'utilisateur de répertorier tous les utilisateurs et groupes dans la AWS Management Console. Elle permet également à l'utilisateur de consulter des informations de base sur les utilisateurs dans le compte. Ces autorisations doivent se trouver dans leur propre instruction, car elles ne prennent pas en charge ou n'ont pas besoin de spécifier d'ARN de ressource particulier. À la place, les autorisations spécifient `"Resource" : "*"`.
+ L'instruction `ViewEditThisGroup` permet à l'utilisateur d'afficher des informations sur le groupe `MarketingTeam`, ainsi que d'ajouter et de supprimer des utilisateurs de ce groupe.

Cette politique n'autorise pas l'utilisateur à afficher ou modifier les autorisations des utilisateurs ou du groupe `MarketingTeam`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewGroups",
            "Effect": "Allow",
            "Action": [
                "iam:ListGroups",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:ListGroupsForUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewEditThisGroup",
            "Effect": "Allow",
            "Action": [
                "iam:AddUserToGroup",
                "iam:RemoveUserFromGroup",
                "iam:GetGroup"
            ],
            "Resource": "arn:aws:iam::*:group/MarketingTeam"
        }
    ]
}
```

------

# IAM : gérer une balise spécifique
<a name="reference_policies_examples_iam-manage-tags"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'ajout et la suppression de la balise IAM avec la clé de balise `Department` à des entités IAM (utilisateurs et rôles). Cette politique ne limite pas la valeur de la balise `Department`. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:TagUser",
            "iam:TagRole",
            "iam:UntagUser",
            "iam:UntagRole"

        ],
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}}
    }
}
```

------

# IAM : transmettre un rôle IAM à un service spécifique AWS
<a name="reference_policies_examples_iam-passrole-service"></a>

Cet exemple montre comment créer une politique basée sur l'identité qui permet de transmettre n'importe quel rôle de service IAM au service Amazon. CloudWatch Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md). 

Un rôle de service est un rôle IAM qui indique qu'un AWS service est le principal habilité à assumer le rôle. Cela permet au service d'endosser le rôle et d'accéder aux ressources dans d'autres services en votre nom. Pour permettre CloudWatch à Amazon d'assumer le rôle que vous lui transmettez, vous devez spécifier le principal du `cloudwatch.amazonaws.com` service comme principal dans la politique de confiance de votre rôle. Le principal de service est défini par le service. Pour connaître le principal de service d'un service, consultez la documentation de ce service. Pour certains services, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md) et recherchez les services qui contiennent **Oui **dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service. Recherchez `amazonaws.com` pour afficher le principal de service.

Pour en savoir plus sur la transmission d'un rôle de service à un service, consultez [Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service](id_roles_use_passrole.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}
```

------

# IAM : autorise l'accès en lecture seule à la console IAM sans reporting
<a name="reference_policies_examples_iam_read-only-console-no-reporting"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM à effectuer toute action IAM dont le nom commence par la chaîne `Get` ou `List`. À mesure que les utilisateurs utilisent la console, celle-ci effectue des demandes à IAM pour répertorier les groupes, les utilisateurs, les rôles et les politiques, et pour générer des rapports sur ces ressources.

L'astérisque agit comme un caractère générique. Lorsque vous utilisez `iam:Get*` dans une politique, les autorisations obtenues incluent toutes les actions IAM commençant par `Get`, telles que `GetUser` et `GetRole`. Les caractères génériques sont utiles si de nouveaux types d'entités sont ajoutés à IAM à l'avenir. Dans ce cas, les autorisations accordées par la politique permettent automatiquement à l'utilisateur de répertorier et d'obtenir les détails relatifs à ces nouvelles entités. 

Cette politique ne peut pas servir à générer des rapports ou des derniers détails de service consultés. Pour obtenir une politique différente l'autorisant, veuillez consulter [IAM : autorise l'accès en lecture seule à la console IAM](reference_policies_examples_iam_read-only-console.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM : autorise l'accès en lecture seule à la console IAM
<a name="reference_policies_examples_iam_read-only-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM à effectuer toute action IAM dont le nom commence par la chaîne `Get`, `List` ou `Generate`. À mesure que les utilisateurs utilisent la console IAM, celle-ci effectue des demandes pour répertorier les groupes, les utilisateurs, les rôles et les politiques, et pour générer des rapports sur ces ressources.

L'astérisque agit comme un caractère générique. Lorsque vous utilisez `iam:Get*` dans une politique, les autorisations obtenues incluent toutes les actions IAM commençant par `Get`, telles que `GetUser` et `GetRole`. L'utilisation d'un caractère générique est avantageuse, en particulier si de nouveaux types d'entités sont ajoutés à IAM à l'avenir. Dans ce cas, les autorisations accordées par la politique permettent automatiquement à l'utilisateur de répertorier et d'obtenir les détails relatifs à ces nouvelles entités. 

Utilisez cette politique pour un accès à la console incluant des autorisations pour générer des rapports ou les derniers détails du service consultés. Pour une politique différente n'autorisant pas la génération d'actions, veuillez consulter [IAM : autorise l'accès en lecture seule à la console IAM sans reporting](reference_policies_examples_iam_read-only-console-no-reporting.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*",
            "iam:Generate*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM : autorise des utilisateurs spécifiques à gérer un groupe par programmation et dans la console
<a name="reference_policies_examples_iam_users-manage-group"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM spécifiques à gérer le groupe `AllUsers`. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

À quoi sert cette politique ?
+ L'instruction `AllowAllUsersToListAllGroups` permet de répertorier tous les groupes. Ceci est nécessaire pour l'accès à la console. Cette autorisation doit se trouver dans sa propre instruction, car elle ne prend pas en charge un ARN de ressource. À la place, les autorisations spécifient `"Resource" : "*"`.
+ L'instruction `AllowAllUsersToViewAndManageThisGroup` autorise toutes les actions du groupe pouvant être effectuées sur le type de ressource groupe. Elle n'autorise pas l'action `ListGroupsForUser`, qui peut être effectuée sur un type de ressource d'utilisateur et non pas un type de ressource de groupe. Pour de plus amples informations sur les types de ressources que vous pouvez spécifier pour une action IAM, veuillez consulter [Actions, ressources et clés de condition pour Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).
+ L'instruction `LimitGroupManagementAccessToSpecificUsers` refuse aux utilisateurs avec les noms spécifiés l'accès aux actions de groupe d'écriture et de gestion des autorisation. Lorsqu'un utilisateur spécifié dans la politique tente d'apporter des modifications au groupe, cette instruction ne permet pas de refuser la demande. Cette demande est autorisée par l'instruction `AllowAllUsersToViewAndManageThisGroup`. Si d'autres utilisateurs tentent d'effectuer ces opérations, la demande est refusée. Vous pouvez afficher les actions IAM définies avec les niveaux d'accès **Write** (Écriture) ou **Permissions management** (Gestion des autorisations) lors de la création de cette politique dans la console IAM. Pour ce faire, passez de l'onglet **JSON** à l'onglet **Visual editor (Éditeur visuel)**. Pour de plus amples informations sur les niveaux d'accès, veuillez consulter [Actions, ressources et clés de condition pour Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM : permet de définir les exigences de mot de passe du compte par programmation et dans la console
<a name="reference_policies_examples_iam_set-account-pass-policy"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un utilisateur à afficher et mettre à jour ses exigences en matière de mot de passe de compte. Les exigences en matière de mot de passe spécifient les exigences de complexité et les intervalles de rotation obligatoires pour les mots de passe des membres du compte. Cette politique définit des autorisations pour l'accès à la console et par programmation.

Pour savoir comment définir la politique d'exigences de mot de passe de compte pour votre compte, consultez [Définition d’une politique de mot de passe du compte pour les utilisateurs IAM](id_credentials_passwords_account-policy.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:UpdateAccountPasswordPolicy"
        ],
        "Resource": "*"
    }
}
```

------

# IAM : accès à l'API du simulateur de politique en fonction du chemin d'utilisateur
<a name="reference_policies_examples_iam_policy-sim-path"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'utilisation de l'API du simulateur de politique uniquement pour les utilisateurs ayant le chemin `Department/Development`. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

**Note**  
Pour créer une politique qui autorise l'utilisation de la console du simulateur de politique uniquement pour les utilisateurs ayant un chemin `Department/Development`, consultez [IAM : accès à la console du simulateur de politique en fonction du chemin d'utilisateur](reference_policies_examples_iam_policy-sim-path-console.md).

# IAM : accès à la console du simulateur de politique en fonction du chemin d'utilisateur
<a name="reference_policies_examples_iam_policy-sim-path-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'utilisation de la console du simulateur de politique uniquement pour les utilisateurs ayant un chemin `Department/Development`. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

[Vous pouvez accéder au simulateur de politique IAM à l'adresse suivante :/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetPolicy",
                "iam:GetUserPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

# IAM : autorise les utilisateurs IAM à gérer eux-même un dispositif MFA
<a name="reference_policies_examples_iam_mfa-selfmanage"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM à autogérer leur périphérique à [authentification multifactorielle (MFA)](id_credentials_mfa.md). Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI

**Note**  
Si un utilisateur IAM doté de cette politique n'est pas authentifié par MFA, cette politique refuse l'accès à toutes les AWS actions, à l'exception de celles nécessaires pour s'authentifier à l'aide de l'authentification MFA. Si vous ajoutez ces autorisations à un utilisateur connecté à AWS, il peut avoir besoin de se déconnecter puis de se reconnecter pour voir ces modifications.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToCreateVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# IAM : Autoriser les utilisateurs IAM à changer leurs informations d'identification par programmation et dans la console
<a name="reference_policies_examples_iam_credentials_console"></a>

Cet exemple montre comment créer une politique basée sur l'identité qui permet aux utilisateurs IAM de mettre à jour leurs propres clés d'accès, certificats de signature, informations d'identification spécifiques aux services et mots de passe. Cette politique définit des autorisations pour l'accès à la console et par programmation.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        }
    ]
}
```

------

Pour en savoir plus sur la façon dont les utilisateurs peuvent modifier leur propre mot de passe dans la console, consultez [Modification par l'utilisateur IAM de son propre mot de passe](id_credentials_passwords_user-change-own.md).

# IAM : Afficher les informations du dernier accès au service pour une politique AWS Organizations
<a name="reference_policies_examples_iam_service-accessed-data-orgs"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise l’affichage des dernières informations de service consultées pour une politique AWS Organizations spécifique. Cette politique autorise la récupération des données pour la politique de contrôle de service (SCP) avec l'ID `p-policy123`. La personne qui génère et consulte le rapport doit être authentifiée à l'aide AWS Organizations des informations d'identification du compte de gestion. Cette politique permet au demandeur de récupérer les données de n'importe quelle AWS Organizations entité de son organisation. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Pour des informations importantes sur les dernières informations consultées, y compris les autorisations requises, la résolution de problèmes et les régions prises en charge, veuillez consulter [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOrgsReadOnlyAndIamGetReport",
            "Effect": "Allow",
            "Action": [
                "iam:GetOrganizationsAccessReport",
                "organizations:Describe*",
                "organizations:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGenerateReportOnlyForThePolicy",
            "Effect": "Allow",
            "Action": "iam:GenerateOrganizationsAccessReport",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:OrganizationsPolicyId": "p-policy123"}
            }
        }
    ]
}
```

------

# IAM : limite les politiques gérées pouvant être appliquées à un utilisateur, groupe ou rôle IAM
<a name="reference_policies_examples_iam_limit-managed"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui limite les politiques AWS gérées par le client et qui peuvent être appliquées à un utilisateur, un groupe ou un rôle IAM. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachUserPolicy",
            "iam:DetachUserPolicy"
        ],
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "iam:PolicyARN": [
                    "arn:aws:iam::*:policy/policy-name-1",
                    "arn:aws:iam::*:policy/policy-name-2"
                ]
            }
        }
    }
}
```

------

# AWS: Refusez l'accès aux ressources extérieures à votre compte, à l'exception des AWS politiques IAM gérées
<a name="resource_examples_iam_policies_resource_account"></a>

L'utilisation de `aws:ResourceAccount` dans vos politiques basées sur l'identité peut avoir un impact sur la capacité de l'utilisateur ou du rôle à utiliser certains services qui nécessitent une interaction avec des ressources dans des comptes appartenant à un service.

Vous pouvez créer une politique avec une exception pour autoriser les politiques IAM AWS gérées. Un compte géré par un service en dehors de vos propres politiques AWS Organizations IAM gérées. Il existe quatre actions IAM qui répertorient et récupèrent les AWS politiques gérées. Utilisez ces actions dans l'élément [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) de la déclaration `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1` dans la politique.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Lambda : autorise une fonction Lambda à accéder à une table Amazon DynamoDB
<a name="reference_policies_examples_lambda-access-dynamodb"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'accès en lecture et en écriture à une table Amazon DynamoDB spécifique. La politique permet également d'écrire des fichiers CloudWatch journaux dans Logs. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Pour utiliser cette politique, attachez la politique à un [rôle de service](id_roles_create_for-service.md) Lambda. Un rôle de service est un rôle que vous créez dans votre compte pour autoriser un service à effectuer des actions en votre nom. Ce rôle de service doit figurer AWS Lambda en tant que principal dans la politique de confiance. Pour en savoir plus sur l'utilisation de cette politique, consultez [Comment créer une politique AWS IAM pour accorder l' AWS Lambda accès à une table AWS Amazon](https://aws.amazon.com/blogs/security/how-to-create-an-aws-iam-policy-to-grant-aws-lambda-access-to-an-amazon-dynamodb-table/) DynamoDB dans le blog sur la sécurité.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable"
        },
        {
            "Sid": "GetStreamRecords",
            "Effect": "Allow",
            "Action": "dynamodb:GetRecords",
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable/stream/* "
        },
        {
            "Sid": "WriteLogStreamsAndGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateLogGroup",
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS : autorise l'accès complet à la base de données RDS dans une région spécifique
<a name="reference_policies_examples_rds_region"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'accès total à la base de données RDS dans une région spécifique. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:*",
            "Resource": ["arn:aws:rds:us-east-1:*:*"]
        },
        {
            "Effect": "Allow",
            "Action": ["rds:Describe*"],
            "Resource": ["*"]
        }
    ]
}
```

------

# Amazon RDS : autorise la restauration des bases de données RDS, par programmation et dans la console
<a name="reference_policies_examples_rds_db-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise la restauration de bases de données RDS. Cette politique définit des autorisations pour l'accès à la console et par programmation.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSnapshot",
                "rds:DeleteDBSnapshot",
                "rds:Describe*",
                "rds:DownloadDBLogFilePortion",
                "rds:List*",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyOptionGroup",
                "rds:RebootDBInstance",
                "rds:RestoreDBInstanceFromDBSnapshot",
                "rds:RestoreDBInstanceToPointInTime"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS : autorise aux propriétaires de balise l'accès complet aux ressource RDS qu'ils ont balisées
<a name="reference_policies_examples_rds_tag-owner"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui offre aux propriétaires de balises un accès total aux ressources RDS qu'ils ont balisées. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:Describe*",
                "rds:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "rds:DeleteDBInstance",
                "rds:RebootDBInstance",
                "rds:ModifyDBInstance"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:db-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyOptionGroup",
                "rds:DeleteOptionGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:og-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBParameterGroup",
                "rds:ResetDBParameterGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:pg-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:AuthorizeDBSecurityGroupIngress",
                "rds:RevokeDBSecurityGroupIngress",
                "rds:DeleteDBSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:secgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:DeleteDBSnapshot",
                "rds:RestoreDBInstanceFromDBSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:snapshot-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBSubnetGroup",
                "rds:DeleteDBSubnetGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:subgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyEventSubscription",
                "rds:AddSourceIdentifierToSubscription",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:DeleteEventSubscription"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:es-tag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon S3 : permet aux utilisateurs Amazon Cognito d'accéder aux objets dans leur compartiment
<a name="reference_policies_examples_s3_cognito-bucket"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise des utilisateurs Amazon Cognito à accéder à des objets dans un compartiment Amazon S3 spécifique. Cette politique permet d’accéder uniquement aux objets comportant le mot `cognito`, le nom de l’application, ainsi que l’ID du principal fédéré, représenté par la variable \$1\$1cognito-identity.amazonaws.com:sub\$1. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

**Note**  
La valeur « sub » utilisée dans la clé d'objet n'est pas la sous-valeur de l'utilisateur dans le groupe d'utilisateurs, c'est l'ID d'identité associé à l'utilisateur dans le groupe d'identités.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}
```

------

Amazon Cognito assure l’authentification, l’autorisation et la gestion des utilisateurs pour vos applications web et mobiles. Vos utilisateurs peuvent se connecter directement avec un nom d'utilisateur et un mot de passe, ou via un tiers tels que Facebook, Amazon ou Google. 

Les deux principaux composants d'Amazon Cognito sont les groupes d'utilisateurs et les groupes d'identités. Les groupes d'utilisateurs sont des répertoires d'utilisateurs qui fournissent des options d'inscription et de connexion pour les utilisateurs de votre application. Les groupes d'identités vous permettent d'accorder à vos utilisateurs l'accès à d'autres AWS services. Vous pouvez utiliser des groupes d'identités et des groupes d'utilisateurs séparément ou conjointement. 

Pour plus d'informations sur Amazon Cognito, consultez le [Guide de l'utilisateur Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

# Amazon S3 : autorise les utilisateurs fédérés à accéder à leur répertoire de base Amazon S3, par programmation et dans la console
<a name="reference_policies_examples_s3_federated-home-directory-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise des principaux fédérés à accéder à leur propre objet de compartiment de répertoire de base dans S3. Le répertoire de base est un compartiment qui inclut un dossier `home` et des dossiers pour les principaux fédérés individuels. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

La variable `${aws:userid}` de cette politique se résout à `role-id:specified-name`. La partie `role-id` de l’ID du principal fédéré est un ID unique attribué au rôle de du principal fédéré au moment de la création. Pour de plus amples informations, veuillez consulter [Identifiants uniques](reference_identifiers.md#identifiers-unique-ids). `specified-name`Il s'agit du [RoleSessionName paramètre](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html#API_AssumeRoleWithWebIdentity_RequestParameters) transmis à la `AssumeRoleWithWebIdentity` demande lorsque le principal fédéré a assumé son rôle.

Vous pouvez afficher l'ID du rôle à l'aide de la AWS CLI commande`aws iam get-role --role-name specified-name`. Par exemple, imaginons que vous spécifiez le nom convivial `John` et que l'CLI renvoie l'ID de rôle `AROAXXT2NJT7D3SIQN7Z6`. Dans ce cas, l’ID du principal fédéré est `AROAXXT2NJT7D3SIQN7Z6:John`. Cette politique permet ensuite au principal fédéré John d’accéder au compartiment Amazon S3 avec le préfixe `AROAXXT2NJT7D3SIQN7Z6:John`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}
```

------

# Amazon S3 : accès au compartiment S3, mais compartiment de production refusé sans MFA récente
<a name="reference_policies_examples_s3_full-access-except-production"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise un administrateur Amazon S3 à accéder à n'importe quel compartiment, notamment pour la mise à jour, l'ajout et la suppression d'objets. Cependant, il refuse explicitement l'accès au compartiment `amzn-s3-demo-bucket-production` si l'utilisateur ne s'est pas connecté via [Multi-Factor Authentication (MFA)](id_credentials_mfa.md) au cours des trente dernières minutes. Cette politique accorde les autorisations nécessaires pour effectuer cette action dans la console ou par programmation à l'aide de l'API AWS CLI or AWS . Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Cette politique n'autorise jamais un accès par programme au compartiment `amzn-s3-demo-bucket` à l'aide des clés d'accès de l'utilisateur à long terme. Ceci est possible en utilisant la clé de condition `aws:MultiFactorAuthAge` avec l'opérateur de condition `NumericGreaterThanIfExists`. Cette condition de politique renvoie `true` si MFA n'est pas présent ou si l'âge de la MFA est supérieur à 30 minutes. Dans ces situations, l'accès est refusé. Pour accéder au `amzn-s3-demo-bucket-production` compartiment par programmation, l'administrateur S3 doit utiliser des informations d'identification temporaires qui ont été générées au cours des 30 dernières minutes à l'aide de l'opération [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken)API.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}
```

------

# Amazon S3 : autorise les utilisateurs IAM à accéder à leur répertoire de base S3, par programmation et dans la console
<a name="reference_policies_examples_s3_home-directory-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM à accéder à leur propre objet de compartiment de répertoire de base dans S3. Le répertoire d'accueil est un compartiment qui inclut un dossier `home` et des dossiers pour les utilisateurs individuels. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Cette politique ne fonctionne pas lors de l'utilisation de rôles IAM, car la variable `aws:username` n'est pas disponible lorsque vous utilisez des rôles IAM. Pour plus d'informations sur les valeurs de clé principale, consultez la section [Valeurs de la clé du principal](reference_policies_variables.md#principaltable).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:username}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
            ]
        }
    ]
}
```

------

# Amazon S3 : restreindre la gestion à un compartiment S3 spécifique
<a name="reference_policies_examples_s3_deny-except-bucket"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui limite la gestion d'un compartiment Amazon S3 à ce compartiment spécifique. Cette politique accorde l'autorisation d'effectuer toutes les actions Amazon S3, mais refuse l'accès à tous les Service AWS , à l'exception d'Amazon S3. Consultez l'exemple suivant. Selon cette politique, vous ne pouvez accéder qu'aux actions Amazon S3 que vous pouvez effectuer sur un compartiment S3 ou une ressource objet S3. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

Si cette politique est utilisée en combinaison avec d'autres politiques (telles que les politiques EC2 FullAccess AWS gérées par [Amazon ou FullAccess [Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)) qui autorisent les actions interdites par cette politique, l'accès est refusé. En effet, une instruction de refus explicite est prioritaire dans l'autorisation des instructions. Pour de plus amples informations, veuillez consulter [Comment la logique du code d' AWS application évalue les demandes d'autorisation ou de refus d'accès](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Avertissement**  
[`NotAction`](reference_policies_elements_notaction.md) et [`NotResource`](reference_policies_elements_notresource.md) sont des éléments de politique avancée qui doivent être utilisés avec précaution. Cette politique refuse l'accès à chaque service AWS , à l'exception d'Amazon S3. Si vous attachez cette politique à un utilisateur, toutes les autres politiques qui accordent des autorisations aux autres services sont ignorées et l'accès est refusé.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}
```

------

# Octroi d’un accès en lecture et en écriture aux objets du compartiment Amazon S3
<a name="reference_policies_examples_s3_rw-bucket"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l’identité qui autorise l’accès en `Read` et en `Write` aux objets d’un compartiment Amazon S3 spécifique. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

L'action `s3:*Object` utilise un caractère générique dans le nom de l'action. L'instruction `AllObjectActions` autorise les actions `GetObject`, `DeleteObject`, `PutObject` et toute autre action Amazon S3 qui se termine par le mot « Object ».

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bucket-name"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::bucket-name/*"]
        }
    ]
}
```

------

**Note**  
Pour autoriser l'accès en `Read` et en `Write` aux objets d'un compartiment Amazon S3 spécifique et inclure également des autorisations supplémentaires pour l'accès à la console, consultez [Amazon S3 : autorise l'accès en lecture et en écriture aux objets d'un compartiment S3, par programmation et dans la console](reference_policies_examples_s3_rw-bucket-console.md).

# Amazon S3 : autorise l'accès en lecture et en écriture aux objets d'un compartiment S3, par programmation et dans la console
<a name="reference_policies_examples_s3_rw-bucket-console"></a>

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'accès en `Read` et en `Write` aux objets d'un compartiment S3 spécifique. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans [create a policy (créer une politique)](access_policies_create.md) ou [edit a policy (modifier une politique)](access_policies_manage-edit.md).

L'action `s3:*Object` utilise un caractère générique dans le nom de l'action. L'instruction `AllObjectActions` autorise les actions `GetObject`, `DeleteObject`, `PutObject` et toute autre action Amazon S3 qui se termine par le mot « Object ».

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
        }
    ]
}
```

------

# Gestion des politiques IAM
<a name="access_policies_manage"></a>

IAM vous fournit les outils pour créer et gérer tous types de politiques IAM (politiques gérées et politiques en ligne). Pour ajouter des autorisations à une identité IAM (utilisateur, groupe ou rôle IAM) vous créez une politique , vous la validez, puis vous l'attachez à l'identité. Vous pouvez attacher plusieurs politiques à une identité, et chaque politique peut contenir plusieurs autorisations.

**Topics**
+ [Ressources supplémentaires](#access_policies_manage-additional-resources)
+ [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md)
+ [Validation de politique IAM](access_policies_policy-validator.md)
+ [Test de politique IAM avec le simulateur de politiques IAM](access_policies_testing-policies.md)
+ [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md)
+ [Gestion des versions des politiques IAM](access_policies_managed-versioning.md)
+ [Modification de politiques IAM](access_policies_manage-edit.md)
+ [Suppression de politiques IAM](access_policies_manage-delete.md)
+ [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md)

## Ressources supplémentaires
<a name="access_policies_manage-additional-resources"></a>

Les ressources suivantes peuvent vous aider à en savoir plus sur AWS les politiques.
+ Pour plus d'informations sur les différents types de politiques IAM, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md). 
+ Pour obtenir des informations générales sur l'utilisation des politiques dans IAM, consultez [Gestion de l'accès aux AWS ressources](access.md).
+ Pour plus d’informations sur la façon d’utiliser l’analyseur d’accès IAM pour générer une politique IAM basée sur une activité d’accès pour une entité, consultez [Génération d’une politique de l’analyseur d’accès IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ Pour de plus amples informations sur l'évaluation des autorisations lorsque plusieurs politiques sont en vigueur pour une identité IAM donnée, veuillez consulter [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md).
+ Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

# Définition d’autorisations IAM personnalisées avec des politiques gérées par le client
<a name="access_policies_create"></a>

[Les politiques](access_policies.md) définissent les autorisations pour les identités ou les ressources dans AWS. Vous pouvez créer des *politiques gérées par le client* dans IAM à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Les politiques gérées par le client sont des politiques autonomes que vous gérez dans votre propre Compte AWS. Vous pouvez ensuite associer les politiques aux identités (utilisateurs, groupes et rôles) de votre Compte AWS.

Une *politique basée sur l’identité* est une politique attachée à une identité dans IAM. Les politiques basées sur l'identité peuvent inclure des politiques AWS gérées, des politiques gérées par le client et des politiques intégrées. AWS les politiques gérées sont créées et gérées par AWS, et vous pouvez les utiliser mais pas les gérer. Une politique en ligne peut être créée et intégrée directement à un groupes d’utilisateurs, un utilisateur ou un rôle IAM. Les politiques en ligne ne peuvent pas être réutilisées avec d’autres identités ni être gérées en dehors de l’identité où elles existent. Pour de plus amples informations, veuillez consulter [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).

Il est généralement préférable d'utiliser des politiques gérées par le client plutôt que des politiques intégrées ou des politiques AWS gérées. AWS les politiques gérées fournissent généralement des autorisations administratives ou en lecture seule étendues. Pour plus de sécurité, [octroyez le moindre privilège](best-practices.md#grant-least-privilege), c’est-à-dire n’accordez que les autorisations nécessaires à l’exécution de tâches spécifiques.

Lorsque vous créez ou modifiez des politiques IAM, vous AWS pouvez effectuer automatiquement la validation des politiques pour vous aider à créer une politique efficace avec le moindre privilège à l'esprit. Dans le AWS Management Console, IAM identifie les erreurs de syntaxe JSON, tandis qu'IAM Access Analyzer fournit des vérifications de politique supplémentaires avec des recommandations pour vous aider à affiner davantage vos politiques. Pour en savoir plus sur la validation de politiques, veuillez consulter [Validation de politique IAM](access_policies_policy-validator.md). Pour en savoir plus sur les vérifications des politiques IAM Access Analyzer et les recommandations exploitables, veuillez consulter [Validation de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Vous pouvez utiliser l' AWS API AWS Management Console AWS CLI, ou pour créer des politiques gérées par le client dans IAM. Pour plus d'informations sur l'utilisation de CloudFormation modèles pour ajouter ou mettre à jour des politiques, consultez la [référence aux types de Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) dans le *Guide de CloudFormation l'utilisateur*.

**Topics**
+ [Création de politiques IAM (console)](access_policies_create-console.md)
+ [Création de politiques IAM (AWS CLI)](access_policies_create-cli.md)
+ [Création de politiques IAM (AWS API)](access_policies_create-api.md)

# Création de politiques IAM (console)
<a name="access_policies_create-console"></a>

Une [politique](access_policies.md) est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser le AWS Management Console pour créer des *politiques gérées par le client* dans IAM. Les politiques gérées par le client sont des politiques autonomes que vous gérez dans votre propre Compte AWS. Vous pouvez ensuite associer les politiques aux identités (utilisateurs, groupes et rôles) de votre Compte AWS.

Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

**Topics**
+ [Création de politiques IAM](#access_policies_create-start)
+ [Création de politiques à l'aide de l'éditeur JSON](#access_policies_create-json-editor)
+ [Création de politiques avec l'éditeur visuel](#access_policies_create-visual-editor)
+ [Importation de politiques gérées existantes](#access_policies_create-copy)

## Création de politiques IAM
<a name="access_policies_create-start"></a>

Vous pouvez créer une politique gérée par le client en AWS Management Console utilisant l'une des méthodes suivantes :
+ **[JSON](#access_policies_create-json-editor)** — coller et personnaliser un [exemple de politique basée sur l'identité](access_policies_examples.md) publié.
+ **[Visual editor](#access_policies_create-visual-editor)** (Éditeur visuel) — construire intégralement une nouvelle politique dans l'éditeur visuel. Si vous utilisez l'éditeur visuel, vous n'avez pas besoin de comprendre la syntaxe JSON.
+ **[Import](#access_policies_create-copy)** (Importation) — importer et personnaliser une politique gérée depuis votre compte. Vous pouvez importer une politique AWS gérée ou une politique gérée par le client que vous avez créée précédemment.

Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

## Création de politiques à l'aide de l'éditeur JSON
<a name="access_policies_create-json-editor"></a>

Vous pouvez taper ou coller des politiques dans JSON à l'aide de l'option **JSON**. Cette méthode est utile pour copier un [exemple de politique](access_policies_examples.md) à utiliser dans votre compte. Ou vous pouvez composer votre propre document de politique JSON dans l'éditeur JSON. Vous pouvez également utiliser l'option **JSON** pour basculer entre l'éditeur visuel et JSON afin de comparer les vues.

 Lorsque vous créez ou modifiez une politique dans l'éditeur JSON, IAM effectue une validation de politique pour vous aider à créer une politique efficace. IAM identifie les erreurs de syntaxe JSON, tandis qu'IAM Access Analyzer fournit des vérifications de politique supplémentaires avec des recommandations pratiques pour vous aider à affiner la politique. 

Un document de [politique](access_policies.md) JSON est composé d'une ou plusieurs instructions. Chaque instruction doit contenir toutes les actions qui partagent le même effet (`Allow` ou `Deny`) et qui prennent en charge les mêmes ressources et conditions. Si une action nécessite que toutes les ressources soient spécifiées (`"*"`) et qu'une autre action prend en charge l'Amazon Resource Name (ARN) d'une ressource spécifique, elles doivent se trouver dans deux instructions JSON distinctes. Pour plus d'informations sur les formats ARN, consultez [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le *guide Références générales AWS *. Pour obtenir des informations d'ordre général sur les politiques IAM, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md). Pour en savoir plus sur le langage de politique IAM, consultez [Référence de politique JSON IAM](reference_policies.md).

**Pour utiliser l'éditeur de politique JSON afin de créer une politique**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation de gauche, choisissez **Politiques**. 

1. Choisissez **Create Policy** (Créer une politique).

1. Dans la section **Éditeur de politiques**, choisissez l'option **JSON**.

1. Composez ou collez un document de politique JSON. Pour plus d'informations sur le langage de politique IAM, consultez [Référence de politique JSON IAM](reference_policies.md).

1.  Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](access_policies_policy-validator.md), puis choisissez **Suivant**. 
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Facultatif) Lorsque vous créez ou modifiez une politique dans le AWS Management Console, vous pouvez générer un modèle de stratégie JSON ou YAML que vous pouvez utiliser dans les CloudFormation modèles.

   Pour ce faire, dans l'**éditeur de politiques**, sélectionnez **Actions**, puis sélectionnez **Générer CloudFormation un modèle**. Pour en savoir plus, CloudFormation consultez la [référence Gestion des identités et des accès AWS aux types de ressources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) dans le guide de AWS CloudFormation l'utilisateur.

1. Lorsque vous avez fini d’ajouter des autorisations à la politique, choisissez **Suivant**.

1. Sur la page **Vérifier et créer**, tapez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.

1. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).

1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour plus d’informations, veuillez consulter [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).

## Création de politiques avec l'éditeur visuel
<a name="access_policies_create-visual-editor"></a>

L'éditeur visuel de la console IAM vous guide au cours de la création d'une politique sans que vous ayez besoin d'écrire une syntaxe JSON. Pour voir un exemple d'utilisation de l'éditeur visuel pour la création d'un politique, consultez [Contrôle de l'accès aux identités](access_controlling.md#access_controlling-identities).

**Pour utiliser l'éditeur visuel afin de créer une politique**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation de gauche, choisissez **Politiques**. 

1. Choisissez **Create Policy** (Créer une politique).

1. Dans la section **Éditeur de politiques**, recherchez la section **Sélectionner un service**, puis choisissez un AWS service. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des services. Vous pouvez choisir un seul service par bloc d'autorisation de l'éditeur visuel. Pour accorder l'accès à plusieurs services, ajoutez de multiples blocs d'autorisation en sélectionnant **Ajouter d'autres autorisations**.

1. Dans **Actions autorisées**, choisissez les actions à ajouter à la politique. Vous pouvez choisir des actions de différentes manières :
   + Cochez la case à cocher pour toutes les actions.
   + Choisissez **Ajouter des actions** pour saisir le nom d'une action spécifique. Vous pouvez utiliser des caractères génériques (`*`) pour spécifier plusieurs actions.
   + Sélectionnez l'un des groupes de **niveau Accès** pour choisir toutes les actions pour le niveau d'accès (par exemple, **Lecture**, **Écriture** ou **Liste**).
   + Développez chacun des groupes de **Niveaux d'accès** pour choisir des actions individuelles.

   Par défaut, la politique que vous créez autorise les actions que vous choisissez. Pour refuser les actions choisies, sélectionnez **Switch to deny permissions (Basculer vers le refus des autorisations)**. [Le comportement par défaut d'IAM étant le refus](reference_policies_evaluation-logic.md), nous vous recommandons comme bonne pratique de sécurité de n'autoriser un utilisateur à accéder qu'aux actions et aux ressources nécessaires. Vous devez créer une instruction JSON pour refuser des autorisations seulement si vous souhaitez remplacer une autorisation séparément autorisée par une autre instruction ou politique. Nous vous recommandons de limiter le nombre de refus d'autorisation au minimum, car ils peuvent rendre la résolution des problèmes d'autorisation plus complexe.

1. Pour **Ressources**, si le service et les actions que vous avez sélectionnés lors des étapes précédentes ne prennent pas en charge le choix de [ressources spécifiques](access_controlling.md#access_controlling-resources), toutes les ressources sont autorisées et vous ne pouvez pas modifier cette section. 

   Si vous avez choisi une ou plusieurs actions qui prennent en charge les [autorisations de niveau ressource](access_controlling.md#access_controlling-resources), l'éditeur visuel affiche la liste de ces ressources. Vous pouvez alors développer **Ressources** pour spécifier les ressources de votre politique. 

   Vous pouvez spécifier des ressources de la manière suivante :
   + Choisissez **Ajouter ARNs** pour spécifier les ressources en fonction de leur Amazon Resource Names (ARN). Vous pouvez utiliser l'éditeur visuel d'ARN ou la liste ARNs manuellement. Pour de plus amples informations sur la syntaxe ARN, veuillez consulter [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le *Guide Références générales AWS *. Pour plus d'informations sur l'utilisation ARNs dans l'`Resource`élément d'une politique, consultez[Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md).
   + Choisissez **Toute ressource dans ce compte** en regard d'une ressource pour accorder des autorisations à toutes les ressources de ce type.
   + Choisissez **Toutes** pour choisir toutes les ressources pour le service. 

1. (Facultatif) Choisissez **Demander des conditions – *facultatif*** pour ajouter des conditions à la politique que vous créez. Des conditions limitent l'effet d'une instruction de politique JSON. Par exemple, vous pouvez spécifier qu'un utilisateur est autorisé à effectuer des actions sur les ressources uniquement si la demande de cet utilisateur se produit au cours d'une période spécifiée. Vous pouvez également faire appel à des conditions couramment utilisées pour limiter le fait qu'un utilisateur doive être authentifié à l'aide d'un dispositif MFA (authentification multifacteur). Ou vous pouvez exiger que la demande provienne d'une certaine plage d'adresses IP. Pour obtenir la liste de toutes les clés contextuelles que vous pouvez utiliser dans une condition de politique, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.

   Vous pouvez choisir des conditions de différentes manières :
   + Utilisez les cases à cocher pour sélectionner les conditions couramment utilisées.
   + Choisissez **Ajouter une autre condition** pour spécifier d'autres conditions. Choisissez la **Clé de condition**, le **Qualificateur** et l'**Opérateur** de la condition, puis saisissez une **Valeur**. Pour ajouter plusieurs valeurs, choisissez **Ajouter**. Vous pouvez considérer que les valeurs sont connectées par un opérateur logique « OU ». Lorsque vous avez fini, choisissez **Ajouter une condition**.

   Pour ajouter plusieurs conditions, choisissez de nouveau **Ajouter une autre condition**. Répétez l’opération si nécessaire. Chaque condition s'applique uniquement à ce bloc d'autorisation de l'éditeur visuel. Toutes les conditions doivent être remplies pour que le bloc d'autorisation soit considérée comme réussi. En d'autres termes, considérez les conditions comme étant connectées par un opérateur logique « ET ».

   Pour plus d'informations sur l'élément **Condition**, consultez [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md) dans le document [Référence de politique JSON IAM](reference_policies.md).

1. Pour ajouter d'autres blocs d'autorisation, choisissez **Ajouter d'autres autorisations**. Pour chaque bloc, répétez les étapes 2 à 5.
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Facultatif) Lorsque vous créez ou modifiez une politique dans le AWS Management Console, vous pouvez générer un modèle de stratégie JSON ou YAML que vous pouvez utiliser dans les CloudFormation modèles.

   Pour ce faire, dans l'**éditeur de politiques**, sélectionnez **Actions**, puis sélectionnez **Générer CloudFormation un modèle**. Pour en savoir plus, CloudFormation consultez la [référence Gestion des identités et des accès AWS aux types de ressources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) dans le guide de AWS CloudFormation l'utilisateur.

1. Lorsque vous avez fini d’ajouter des autorisations à la politique, choisissez **Suivant**.

1. Sur la page **Vérifier et créer**, tapez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour vous assurer que vous les avez accordées comme prévu. 

1. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).

1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour plus d’informations, veuillez consulter [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).

## Importation de politiques gérées existantes
<a name="access_policies_create-copy"></a>

Une manière facile de créer une nouvelle politique consiste à importer dans votre compte une politique gérée existante qui possède au moins certains des autorisations dont vous avez besoin. Vous pouvez ensuite personnaliser cette politique pour qu'elle corresponde à vos nouveaux besoins.

Vous ne pouvez pas importer une politique en ligne. Pour en savoir plus sur la différence entre les politiques gérées et les politiques en ligne, consultez [Politiques gérées et politiques en ligne](access_policies_managed-vs-inline.md).

**Pour importer une politique gérée existante dans l'éditeur visuel**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation de gauche, choisissez **Politiques**. 

1. Choisissez **Create Policy** (Créer une politique).

1. Dans l'**Éditeur de politiques**, choisissez **Visuel**, puis, sur le côté droit de la page, choisissez **Actions**, puis **Importer une politique**.

1. Dans la fenêtre **Importer une politique**, choisissez les politiques gérées qui correspondent le mieux à celle que vous voulez inclure dans votre nouvelle politique. Vous pouvez utiliser la zone de recherche en haut de la page pour limiter les résultats dans la liste des politiques.

1. Choisissez **Importer une politique**.

   Les politiques importées sont ajoutées dans de nouveaux blocs d'autorisation au bas de votre politique.

1. Utilisez **Éditeur visuel** ou choisissez **JSON** pour personnaliser votre politique. Ensuite, sélectionnez **Suivant**.
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Sur la page **Vérifier et créer**, tapez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vous ne pourrez plus modifier ces paramètres ultérieurement. Vérifiez les **Autorisations définies dans cette politique**, puis choisissez **Créer une politique** pour enregistrer votre travail.

**Pour importer une politique gérée existante dans l'éditeur **JSON****

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation de gauche, choisissez **Politiques**. 

1. Choisissez **Create Policy** (Créer une politique).

1. Dans la section **Éditeur de politiques**, choisissez l'option **JSON**, puis, sur le côté droit de la page, choisissez **Actions**, puis **Importer une politique**.

1. Dans la fenêtre **Importer une politique**, choisissez les politiques gérées qui correspondent le mieux à celle que vous voulez inclure dans votre nouvelle politique. Vous pouvez utiliser la zone de recherche en haut de la page pour limiter les résultats dans la liste des politiques.

1. Choisissez **Importer une politique**.

   Les instructions des politiques importées sont ajoutées au bas de votre politique JSON.

1. Personnalisez votre politique dans JSON. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](access_policies_policy-validator.md), puis choisissez **Suivant**. Personnalisez votre politique dans JSON ou sélectionnez **Visual editor** (Éditeur visuel). Ensuite, sélectionnez **Suivant**.
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Sur la page **Vérifier et créer**, tapez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vous ne pourrez plus modifier ces champs ultérieurement. Vérifiez la politique **Autorisations définies dans cette politique**, puis choisissez **Créer une politique** pour enregistrer votre travail.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour de plus amples informations, veuillez consulter [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md).

# Création de politiques IAM (AWS CLI)
<a name="access_policies_create-cli"></a>

Une [politique](access_policies.md) est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser le AWS CLI pour créer des *politiques gérées par le client* dans IAM. Les politiques gérées par le client sont des politiques autonomes que vous gérez dans votre propre Compte AWS. Selon les [bonnes pratiques](best-practices.md), nous vous recommandons d'utiliser IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sûres et fonctionnelles. En procédant à la [validation de vos politiques](access_policies_policy-validator.md), vous pouvez corriger toute erreur ou recommandation avant d'attacher les politiques aux identités (utilisateurs, groupes et rôles) dans votre Compte AWS.

Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

## Création de politiques IAM (AWS CLI)
<a name="create-policies-cli-api"></a>

Vous pouvez créer une politique gérée par le client IAM ou une politique en ligne à l'aide de l’interface AWS Command Line Interface (AWS CLI). 

**Pour créer une politique gérée par le client (AWS CLI)**  
Utilisez la commande suivante :
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**Pour créer une politique en ligne pour une identité IAM (groupe, utilisateur ou rôle) (AWS CLI)**  
Utilisez l’une des commandes suivantes :
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**Note**  
Vous ne pouvez pas utiliser IAM pour intégrer une politique en ligne pour un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*.

**Pour valider une politique gérée par le client (AWS CLI)**  
Utilisez la commande IAM Access Analyzer suivante :
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Création de politiques IAM (AWS API)
<a name="access_policies_create-api"></a>

Une [politique](access_policies.md) est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser l' AWS API pour créer des *politiques gérées par le client* dans IAM. Les politiques gérées par le client sont des politiques autonomes que vous gérez dans votre propre Compte AWS. Selon les [bonnes pratiques](best-practices.md), nous vous recommandons d'utiliser IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sûres et fonctionnelles. En procédant à la [validation de vos politiques](access_policies_policy-validator.md), vous pouvez corriger toute erreur ou recommandation avant d'attacher les politiques aux identités (utilisateurs, groupes et rôles) dans votre Compte AWS.

Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

## Création de politiques IAM (AWS API)
<a name="create-policies-api"></a>

Vous pouvez créer une politique gérée par le client IAM ou une politique en ligne à l'aide de l'API AWS .

**Pour créer une politique gérée par le client (AWS API)**  
Appelez l’opération suivante :
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Pour créer une politique intégrée pour une identité IAM (groupe, utilisateur ou rôle) (AWS API)**  
Appelez l'une des opérations suivantes :
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**Note**  
Vous ne pouvez pas utiliser IAM pour intégrer une politique en ligne pour un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*.

**Pour valider une politique gérée par le client (AWS API)**  
Appelez l'opération IAM Access Analyzer suivante :
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Validation de politique IAM
<a name="access_policies_policy-validator"></a>

Une [politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html) est un document JSON écrit à l'aide de la [syntaxe des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html). Lorsque vous attachez une politique à une entité IAM, telle qu'un utilisateur, un groupe ou un rôle, elle octroie des autorisations à cette entité.

Lorsque vous créez ou modifiez des politiques de contrôle d'accès IAM à l'aide du AWS Management Console, les examine AWS automatiquement pour s'assurer qu'elles sont conformes à la grammaire des politiques IAM. Si AWS détermine qu'une politique n'est pas conforme à la syntaxe, il vous invite à corriger la politique.

IAM Access Analyzer fournit des vérifications de politiques supplémentaires avec des recommandations pour vous aider à affiner davantage la politique. Pour en savoir plus sur les vérifications des politiques IAM Access Analyzer et les recommandations exploitables, veuillez consulter [Validation de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). Pour afficher la liste des avertissements, erreurs et suggestions renvoyés par IAM Access Analyzer, veuillez consulter la [Référence de vérification de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

**Portée de la validation**  
AWS vérifie la syntaxe et la grammaire des politiques JSON. Il vérifie également que vous ARNs êtes correctement formaté et que les noms des actions et les clés de condition sont corrects.

**Accès à la validation des politiques**  
Les politiques sont validées automatiquement lorsque vous créez une politique JSON ou que vous modifiez une politique existante dans la AWS Management Console. Si la syntaxe de la politique n'est pas valide, vous recevez une notification pour résoudre le problème avant de continuer. Les résultats de la validation de la politique d'IAM Access Analyzer sont automatiquement renvoyés dans le fichier AWS Management Console si vous disposez d'autorisations pour. `access-analyzer:ValidatePolicy` Vous pouvez également valider les politiques à l'aide de l' AWS API ou AWS CLI.

**Politiques existantes**  
Il peut arriver que des politiques existantes ne soient pas valides, car leur création ou leur enregistrement sont antérieurs aux dernières mises à jour du moteur de politique. Selon les [bonnes pratiques](best-practices.md), nous vous recommandons d'utiliser IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sûres et fonctionnelles. Nous vous recommandons d'ouvrir vos politiques existantes et d'examiner les résultats de validation des politiques qui sont générés. Vous ne pouvez pas modifier et enregistrer des politiques existantes sans corriger les erreurs de syntaxe qu'elles contiennent.

# Test de politique IAM avec le simulateur de politiques IAM
<a name="access_policies_testing-policies"></a>

Pour plus d'informations sur la manière d'utiliser les politiques IAM et pourquoi, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).

**[Vous pouvez accéder à la console IAM Policy Simulator à l'adresse suivante :/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)**

**Important**  
Les résultats du simulateur de politiques peuvent différer de ceux de votre AWS environnement réel. Nous vous recommandons de vérifier vos politiques par rapport à votre AWS environnement réel après les avoir testées à l'aide du simulateur de politiques afin de confirmer que vous avez obtenu les résultats souhaités. Pour de plus amples informations, veuillez consulter [Fonctionnement du simulateur de politiques IAM](#policies_policy-simulator-how-it-works).

 

Avec le simulateur de politiques IAM, vous pouvez tester et dépanner les politiques basées sur l'identité et les limites d'autorisations IAM. Voici quelques exemples de ce que vous pouvez réaliser avec le simulateur de politiques :
+ Testez les politiques basées sur l’identité qui sont attachées aux utilisateurs IAM, groupes IAM ou rôles dans votre compte Compte AWS. Si plusieurs politiques sont attachées à l'utilisateur, au groupe d'utilisateurs ou au rôle, vous pouvez tester toutes les politiques ou sélectionner des politiques individuelles à tester. Vous pouvez tester les actions qui sont autorisées ou refusées par les politiques sélectionnées pour des ressources spécifiques.
+ Testez et résolvez les problèmes liés à l'effet des [limites d'autorisations](access_policies_boundaries.md) sur les entités IAM. Vous ne pouvez simuler qu'une seule limite d'autorisations à la fois.
+ Testez les effets sur les utilisateurs IAM des politiques basées sur les ressources qui sont attachées à des ressources AWS telles que des compartiments Amazon S3, des files d’attente Amazon SQS, des rubriques Amazon SNS ou des coffres-forts Amazon Glacier. Pour utiliser une politique basée sur les ressources dans le simulateur de politiques pour des utilisateurs IAM, vous devez inclure la ressource dans la simulation. Vous devez également cocher la case pour inclure la politique de cette ressource dans la simulation.
**Note**  
La simulation de politiques basées sur les ressources n'est pas prise en charge pour les rôles IAM.
+ Si vous Compte AWS êtes membre d'une organisation en [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), vous pouvez tester l'impact des politiques de contrôle des services (SCPs) sur vos politiques basées sur l'identité.
**Note**  
Le simulateur de politiques SCPs n'évalue aucune condition.
+ Testez les nouvelles politiques basées sur l'identité qui ne sont pas encore attachées à un utilisateur, un groupe d'utilisateurs ou un rôle en les saisissant ou en les copiant dans le simulateur de politiques. Elles sont utilisées uniquement dans la simulation et en sont pas enregistrées. Vous ne pouvez pas saisir ou copier les politiques basées sur des ressources dans le simulateur de politiques.
+ Testez les politiques basées sur l'identité avec les services, actions et ressources sélectionnés. Par exemple, vous pouvez effectuer des tests pour vérifier que votre politique autorise une entité à exécuter les actions `ListAllMyBuckets`, `CreateBucket` et `DeleteBucket` dans le service Amazon S3 sur un compartiment spécifique.
+ Simulez des scénarios réels en fournissant des clés de contexte, comme une adresse IP ou une date, qui sont incluses dans les éléments `Condition` des politiques en cours de test.
**Note**  
Le simulateur de politiques ne simule pas les balises fournies comme entrée si la politique basée sur l'identité de la simulation ne comporte aucun élément `Condition` qui vérifie explicitement la présence de balises.
+ Identifiez quelle instruction spécifique d'une politique basée sur l'identité entraîne l'autorisation ou le refus de l'accès à une ressource ou une action particulière. 

**Topics**
+ [Fonctionnement du simulateur de politiques IAM](#policies_policy-simulator-how-it-works)
+ [Autorisations nécessaires pour utiliser le simulateur de politiques IAM](#permissions-required_policy-simulator)
+ [Utilisation du simulateur de politique IAM (Console)](#policies_policy-simulator-using)
+ [Utilisation du simulateur de politique IAM (AWS CLI et de AWS l'API)](#policies-simulator-using-api)

## Fonctionnement du simulateur de politiques IAM
<a name="policies_policy-simulator-how-it-works"></a>

Le simulateur de politiques évalue les déclarations de la politique basée sur l'identité et les entrées que vous fournissez lors de la simulation. Les résultats du simulateur de politiques peuvent différer de ceux de votre environnement AWS en ligne. Nous vous recommandons de vérifier vos politiques par rapport à votre AWS environnement réel après les avoir testées à l'aide du simulateur de politiques afin de confirmer que vous avez obtenu les résultats souhaités.

Le simulateur de politiques se distingue de l' AWS environnement réel sur les points suivants : 
+ Le simulateur de politiques n'émet pas de véritable demande de AWS service. Vous pouvez donc tester en toute sécurité les demandes susceptibles d'apporter des modifications indésirables à votre AWS environnement réel. Le simulateur de politiques ne prend pas en compte les valeurs clés du contexte réel dans la production.
+ Du fait que le simulateur de politiques ne simule pas l'exécution des actions sélectionnées, il ne peut rapporter aucune réponse à la demande simulée. Le seul résultat renvoyé est si l'action demandée serait autorisée ou refusée.
+ Si vous modifiez une politique dans le simulateur de politiques, ces modifications affectent uniquement le simulateur de politiques. La politique correspondante dans votre dossier Compte AWS demeure inchangée.
+ Vous ne pouvez tester les politiques de contrôle des services (SCPs) sous aucune condition.
+ Le simulateur de politiques ne prend pas en charge la simulation pour les politiques de contrôle des ressources (RCPs).
+ Le simulateur de politiques ne prend pas en charge la simulation des rôles et utilisateurs IAM pour l'accès intercompte.

**Note**  
Le simulateur de politiques IAM ne détermine pas quels services prennent en charge les [clés de condition globales](reference_policies_condition-keys.md) pour l'autorisation. Par exemple, le simulateur de politiques n'identifie pas les services qui ne prennent pas en charge [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys).

## Autorisations nécessaires pour utiliser le simulateur de politiques IAM
<a name="permissions-required_policy-simulator"></a>

Vous pouvez utiliser la console du simulateur de politiques ou l'API du simulateur de politiques pour tester des politiques. Par défaut, les utilisateurs de la console peuvent tester les politiques qui ne sont pas encore attachées à un utilisateur, un groupe d'utilisateurs ou à un rôle en les saisissant ou en les copiant dans le simulateur de politiques. Ces politiques sont utilisées uniquement dans la simulation et ne divulguent aucune information sensible. Les utilisateurs d'API doivent avoir les autorisations pour tester les politiques détachées. Vous pouvez autoriser les utilisateurs de la console ou de l’API à tester des politiques attachées à des utilisateurs IAM, des groupes IAM ou des rôles dans votre Compte AWS. Pour ce faire, vous devez fournir l'autorisation d'extraire ces politiques. Afin de tester les politiques basées sur les ressources, les utilisateurs doivent avoir l'autorisation d'extraire la politique de la ressource.

Pour obtenir des exemples de stratégie de console et d'API qui autorisent l'utilisateur de la console à simuler les politiques, consultez [Exemples de politiques : Gestion des identités et des accès AWS (IAM)](access_policies_examples.md#policy_library_IAM).

### Autorisations nécessaires pour utiliser la console du simulateur de politique
<a name="permissions-required_policy-simulator-console"></a>

Vous pouvez autoriser les utilisateurs à tester des politiques attachées à des utilisateurs IAM, des groupes IAM ou des rôles dans votre Compte AWS. Pour ce faire, vous devez fournir à vos utilisateurs les autorisations nécessaires pour extraire ces politiques. Afin de tester les politiques basées sur les ressources, les utilisateurs doivent avoir l'autorisation d'extraire la politique de la ressource.

Pour visualiser un exemple de politique qui autorise l'utilisation de la console du simulateur de politique pour les politiques attachées à un utilisateur, à un groupe d'utilisateurs ou à un rôle, consultez [IAM : Accès à la console du simulateur de politiques](reference_policies_examples_iam_policy-sim-console.md). 

Pour visualiser un exemple de politique qui autorise l'utilisation de la console du simulateur de politique uniquement pour ces utilisateurs avec un chemin spécifique, consultez [IAM : accès à la console du simulateur de politique en fonction du chemin d'utilisateur](reference_policies_examples_iam_policy-sim-path-console.md).

Pour créer une politique permettant l'utilisation de la console du simulateur de politique pour un seul type d'entité, utilisez les procédures suivantes.

**Pour autoriser les utilisateurs de la console à simuler des politiques pour des utilisateurs**  
Incluez les actions suivantes dans votre politique :
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`

**Pour autoriser des utilisateurs de la console à simuler des politiques pour des groupes IAM**  
Incluez les actions suivantes dans votre politique :
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`

**Pour autoriser les utilisateurs de la console à simuler des politiques pour des rôles**  
Incluez les actions suivantes dans votre politique :
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`

Pour tester les politiques basées sur les ressources, les utilisateurs doivent avoir l'autorisation d'extraire la politique de la ressource.

**Pour autoriser les utilisateurs de la console à tester les politiques basées sur les ressources dans un compartiment Amazon S3**  
Incluez l'action suivante dans votre politique :
+ `s3:GetBucketPolicy`

Par exemple, la politique suivante utilise cette action pour autoriser les utilisateurs de la console à simuler une politique basée sur une ressource, dans un compartiment Amazon S3 spécifique.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }
```

------

### Autorisations nécessaires pour utiliser l'API du simulateur de politique
<a name="permissions-required_policy-simulator-api"></a>

L'API du simulateur de politiques [GetContextKeyForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForCustomPolicy.html)fonctionne et vous [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)permet de tester des politiques qui ne sont pas encore associées à un utilisateur, à un groupe d'utilisateurs ou à un rôle. Pour tester des politiques de ce type, vous transmettez les politiques sous forme de chaînes à l'API. Ces politiques sont utilisées uniquement dans la simulation et ne divulguent aucune information sensible. Vous pouvez également utiliser l’API pour tester les politiques attachées à des utilisateurs IAM, des groupes IAM ou des rôles dans votre Compte AWS. Pour ce faire, vous devez autoriser les utilisateurs à appeler [GetContextKeyForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForPrincipalPolicy.html)et [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html).

Pour consulter un exemple de politique qui permet d'utiliser l'API du simulateur de politiques pour les politiques attachées et non attachées dans la version actuelle Compte AWS, consultez[IAM : Accès à l'API du simulateur de politique](reference_policies_examples_iam_policy-sim.md). 

Pour créer une politique permettant l'utilisation de l'API du simulateur de politique pour un seul type de politique, utilisez les procédures suivantes.

**Pour autoriser les utilisateurs d'API à simuler les politiques transmises directement à l'API sous forme de chaînes**  
Incluez les actions suivantes dans votre politique :
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`

**Pour autoriser des utilisateurs de l’API à simuler des politiques attachées à des utilisateurs, groupes, rôles ou ressources IAM**  
Incluez les actions suivantes dans votre politique :
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`

Par exemple, pour autoriser un utilisateur nommé Bob à simuler une politique qui est attribuée à un utilisateur nommé Alice, autorisez Bob à accéder aux ressources suivantes : `arn:aws:iam::777788889999:user/alice`. 

Pour visualiser un exemple de politique qui autorise l'utilisation de l'API du simulateur de politique uniquement pour ces utilisateurs avec un chemin spécifique, consultez [IAM : accès à l'API du simulateur de politique en fonction du chemin d'utilisateur](reference_policies_examples_iam_policy-sim-path.md).

## Utilisation du simulateur de politique IAM (Console)
<a name="policies_policy-simulator-using"></a>

Par défaut, les utilisateurs peuvent tester les politiques qui ne sont pas encore attachées à un utilisateur, un groupe d'utilisateurs ou à un, rôle en les saisissant ou en les copiant dans la console du simulateur de politique. Ces politiques sont utilisées uniquement dans la simulation et ne divulguent aucune information sensible. 

**Pour tester une politique qui n'est pas attachée à un utilisateur, un groupe d'utilisateurs ou un rôle (console)**

1. Ouvrez la console du simulateur de politique IAM à l'adresse : [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. Dans le menu **Mode:** en haut de la page, sélectionnez **New Policy (Nouvelle politique)**.

1. Dans le menu **Policy Sandbox (Environnement de test (sandbox) de politique)**, choisissez **Create New Policy (Créer une politique)**.

1. Tapez ou copiez une politique dans le simulateur de politiques et utilisez le simulateur de politiques comme décrit dans les étapes suivantes.

Après avoir été autorisé à utiliser la console du simulateur de politiques IAM, vous pouvez utiliser le simulateur de politiques pour tester un utilisateur, un groupe d'utilisateurs, un rôle ou une politique de ressource IAM.

**Pour tester une politique attachée à un utilisateur, un groupe d'utilisateurs ou un rôle (console)**

1. Ouvrez la console du simulateur de politique IAM à l'adresse [ https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). 
**Note**  
Pour vous connecter au simulateur de politique en tant qu'utilisateur IAM, utilisez votre URL de connexion unique pour vous connecter à la AWS Management Console. Ensuite, accédez à [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). Pour plus d'informations sur la connexion en tant qu'utilisateur IAM, consultez [Comment les utilisateurs d'IAM se connectent à AWS](id_users_sign-in.md).

   Le simulateur de politiques s'ouvre au mode **Existing Policies** (Politiques existantes) et répertorie les utilisateurs IAM de votre compte sous **Users, Groups, and Roles** (Utilisateurs, groupes et rôles).

1. <a name="polsimstep-selectid"></a>Choisissez l'option appropriée à votre tâche :  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/access_policies_testing-policies.html)
**Conseil**  
Pour tester une politique attachée à un groupe, vous pouvez lancer le simulateur de politiques IAM directement dans la [console IAM](https://console.aws.amazon.com/iam/) : dans le panneau de navigation, sélectionnez **Groupes**. Choisissez le nom du groupe sur lequel vous souhaitez tester une politique, puis choisissez l'onglet **Autorisations**. Choisissez **Simulate (Simuler)**.  
Pour tester une politique gérée par le client attachée à un utilisateur : dans le panneau de navigation, choisissez **Utilisateurs**. Choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations. Ensuite, choisissez l'onglet **Autorisations** et développez la politique à tester. À l'extrême droite, choisissez **Simuler la politique**. Le **simulateur de politique IAM** ouvre une nouvelle fenêtre et affiche la politique sélectionnée dans le panneau **Policies** (Politiques).

1. (Facultatif) Si votre compte est membre d'une organisation dans [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), cochez la case à côté **AWS Organizations SCPs**pour l'inclure SCPs dans votre évaluation simulée. SCPssont des politiques JSON qui spécifient les autorisations maximales pour une organisation ou une unité organisationnelle (UO). La stratégie de contrôle de service limite les autorisations pour les entités dans les comptes membres. Si une stratégie de contrôle de service bloque un service ou une action, aucune entité de ce compte ne peut accéder à ce service ni effectuer cette action. Cette affirmation se confirme même si un administrateur accorde explicitement des autorisations à ce service ou à cette action IAM ou par le biais d'un IAM ou d'une politique de ressources. 

   Si votre compte n’est pas membre d’une organisation, la case à cocher n’apparaît pas.

1. (Facultatif) Vous pouvez tester une politique définie en tant que [limite des autorisations](access_policies_boundaries.md) pour une entité IAM (utilisateur ou rôle), mais pas pour des groupes IAM. Si une politique de limite des autorisations est actuellement définie pour l'entité, elle apparaît dans le panneau **Policies (Politiques)**. Vous ne pouvez définir qu'une seule limite d'autorisations pour une entité. Pour tester une limite d'autorisations différente, vous pouvez créer une limite d'autorisations personnalisée. Pour ce faire, choisissez **Create New Policy (Créer une nouvelle politique)**. Un nouveau panneau **Policies (Politiques)** s'ouvre. Dans le menu, choisissez **Custom IAM Permissions Boundary Policy (Politique de limite d'autorisations IAM personnalisée)**. Entrez un nom pour la nouvelle politique et saisissez ou copiez une politique dans l'espace ci-dessous. Choisissez **Apply (Appliquer)** pour enregistrer la politique. Ensuite, choisissez **Back (Précédent)** pour revenir au panneau **Policies (Politiques)** d'origine. Sélectionnez ensuite la case à cocher en regard de la limite des autorisations que vous souhaitez utiliser pour la simulation. 

1. <a name="polsimstep-polsubset"></a>(Facultatif) Vous pouvez tester uniquement un sous-ensemble de politiques attachées à un utilisateur, un groupe d'utilisateurs ou un rôle. Pour ce faire, dans le panneau **Politiques**, désactivez la case à cocher en regard de chaque politique que vous souhaitez exclure.

1. <a name="polsimstep-service"></a>Sous **Simulateur de politique**, choisissez **Select service (Sélectionner un service)**, puis choisissez le service à tester. Choisissez ensuite **Sélectionner des actions** et sélectionnez une ou plusieurs actions à tester. Bien que les menus affichent les sélections disponibles pour un seul service à la fois, tous les services et actions que vous avez sélectionnés s'affichent dans **Action Settings and Results (Paramètres d'action et résultats)**. 

1. (Facultatif) Si des politiques que vous choisissez dans les interfaces [Step 2](#polsimstep-selectid) et [Step 5](#polsimstep-polsubset) incluent des conditions avec des [*clés de condition globale AWS*](reference_policies_condition-keys.md), fournissez des valeurs pour ces clés. Cette opération est possible en étendant la section **Global Settings (Paramètres généraux)** et en saisissant des valeurs pour les noms de clés affichés ici.
**Avertissement**  
Si vous laissez la valeur d'une clé de condition vide, cette clé est ignorée pendant la simulation. Dans certains cas, cela entraîne une erreur et l'exécution de la simulation échoue. Dans d'autres cas, la simulation fonctionne, mais les résultats peuvent ne pas être fiables. Dans ces cas, la simulation ne correspond pas aux conditions du monde réel qui incluent une valeur pour la clé de condition ou la variable.

1. (Facultatif) Chaque action sélectionnée s'affiche dans la liste **Action Settings and Results (Paramètres d'action et résultats)** avec la mention **Not simulated (Non simulée)** affichée dans la colonne **Autorisation** jusqu'à ce que vous exécutiez réellement la simulation. Avant d'exécuter la simulation, vous pouvez configurer chaque action avec une ressource. Pour configurer des actions individuelles pour un scénario spécifique, choisissez la flèche pour développer la ligne de l'action. Si l'action prend en charge les autorisations de niveau de ressource, vous pouvez saisir l'[Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) de la ressource spécifique dont vous souhaitez tester l'accès. Par défaut, chaque ressource est définie sur un caractère générique (\$1). Vous pouvez également spécifier une valeur pour toutes les [clés de contexte de condition](reference_policies_actions-resources-contextkeys.html). Comme mentionné précédemment, les clés avec des valeurs vides sont ignorées, ce qui peut entraîner des échecs de simulation ou des résultats peu fiables.

   1. Choisissez la flèche située en regard du nom de l'action pour développer chaque ligne et configurer les informations supplémentaires requises pour simuler précisément l'action dans votre scénario. Si l'action nécessite des autorisations de niveau de ressource, vous pouvez saisir l'[Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) de la ressource spécifique à laquelle vous souhaitez simuler l'accès. Par défaut, chaque ressource est définie sur un caractère générique (\$1).

   1. Si l'action prend en charge les autorisations de niveau ressource mais qu'elles ne sont pas obligatoires, vous pouvez choisir l'option **Ajouter une ressource** pour sélectionner le type de ressource que vous souhaitez ajouter à la simulation. 

   1. Si l'une des politiques sélectionnées inclue un élément `Condition` qui fait référence à une clé de contexte pour le service de cette action, ce nom de clé s'affiche sous l'action. Vous pouvez spécifier la valeur à utiliser pendant la simulation de cette action pour la ressource spécifiée.
<a name="resource-scenarios"></a>
**Actions nécessitant différents groupes de types de ressources**  
Certaines actions nécessitent différents types de ressources dans certaines circonstances. Chaque groupe de types de ressources est associé à un scénario. Si l'un d'entre eux s'applique à votre simulation, sélectionnez-le et le simulateur de politiques nécessite les types de ressources adaptés à ce scénario. La liste suivante affiche chacune des options de scénarios prises en charge et les ressources que vous devez définir pour exécuter la simulation.

   Chacun des scénarios suivants Amazon EC2 nécessite que vous spécifiiez les ressources `instance`, `image` et `security-group`. Si votre scénario inclut un volume EBS, vous devez spécifier ce `volume` en tant que ressource. Si le scénario Amazon EC2 inclut un Virtual Private Cloud (VPC), vous devez fournir la ressource `network-interface`. S'il inclut un sous-réseau IP, vous devez spécifier la ressource `subnet`. Pour de plus amples informations sur les options de scénarios Amazon EC2, veuillez consulter [Supported Platforms (Plateformes prises en charge)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html) dans le *Guide de l'utilisateur Amazon EC2*.
   + **EC2-VPC- InstanceStore**

     instance, image, groupe de sécurité, interface réseau
   + **Sous-réseau EC2-VPC- InstanceStore**

     instance, image, groupe de sécurité, interface réseau, sous-réseau
   + **EC2-VPC-EBS**

     instance, image, groupe de sécurité, interface réseau, volume
   + **EC2-VPC-EBS-Subnet**

     instance, image, groupe de sécurité, interface réseau, sous-réseau, volume

1. <a name="polsimstep-respol"></a>(Facultatif) Si vous souhaitez inclure une politique basée sur les ressources dans votre simulation, vous devez d'abord sélectionner les actions que vous souhaitez simuler sur cette ressource dans [Step 6](#polsimstep-service). Développez les lignes des actions sélectionnées et saisissez l'ARN de la ressource avec une politique que vous souhaitez simuler. Sélectionnez ensuite **Include Resource Policy (Inclure une politique de ressource)** en regard de la zone de texte **ARN**. Le simulateur de politiques IAM prend actuellement en charge les politiques basées sur les ressources uniquement à partir des services suivants : Amazon S3 (politiques basées sur les ressources uniquement ; ACLs elles ne sont pas prises en charge actuellement), Amazon SQS, Amazon SNS et les coffres-forts Amazon Glacier déverrouillés (les coffres-forts verrouillés ne sont pas pris en charge actuellement).

1. Choisissez **Run Simulation (Exécuter la simulation)** dans le coin supérieur droit.

   La colonne **Autorisation** de chaque ligne de **Action Settings and Results (Paramètres d'action et résultats)** affiche le résultat de la simulation de cette action sur la ressource spécifiée.

1. Pour voir quelle déclaration d'une politique autorisait ou refusait explicitement une action, cliquez sur le lien des **déclarations *N* correspondantes** dans la colonne **Permissions** pour développer la ligne. Ensuite, affichez le lien **Show statement (Afficher l'instruction)**. Le panneau **Politiques** affiche la politique correspondant à l'instruction ayant affecté le résultat de la simulation surlignée.
**Note**  
Si une action est *implicitement* refusée, autrement dit si l'action est refusée uniquement parce qu'elle n'est pas explicitement autorisée, les options **List (Répertorier)** et **Show statement (Afficher l'instruction)** ne sont pas affichées.

### Dépannage des messages de la console du simulateur de politique IAM
<a name="iam-policy-simulator-messages"></a>

Le tableau suivant répertorie les messages d'information et d'avertissement que vous êtes susceptible de recevoir lorsque vous utilisez le simulateur de politique IAM. Le tableau fournit également des mesures à prendre pour les résoudre. 


****  

| Message | Mesures à prendre | 
| --- | --- | 
| This policy has been edited. Changes will not be saved to your account.  |   **Aucune action requise.**  Ce message est informatif. Si vous modifiez une politique existante dans le simulateur de politique IAM, votre modification n'affecte pas votre Compte AWS. Le simulateur de politiques vous permet de modifier vos politiques uniquement à des fins de test.  | 
| Cannot get the resource policy. Motif : detailed error message | Le simulateur de politiques ne parvient pas à accéder à une politique basée sur des ressources demandée. Vérifiez que l'ARN de la ressources spécifiée est correct et que l'utilisateur exécutant la simulation est autorisé à lire la politique de la ressource. | 
| One or more policies require values in the simulation settings. The simulation might fail without these values.  |  Ce message s'affiche si la politique que vous testez contient des clés de condition ou des variables mais que vous n'avez pas fourni de valeurs pour ces clés ou variables dans **Simulation Settings (Paramètres de simulation)**. Pour ignorer ce message, choisissez **Simulation Settings (Paramètres de simulation)**, puis saisissez une valeur pour chaque clé ou variable de condition.  | 
| You have changed policies. These results are no longer valid.  |  Ce message s'affiche si vous avez modifié la politique sélectionnée alors que les résultats sont affichés dans le panneau **Résultats**. Les résultats affichés dans le panneau **Résultats** ne sont pas mis à jour de manière dynamique. Pour ignorer ce message, choisissez de nouveau **Run Simulation (Exécuter la simulation)** pour afficher les nouveaux résultats de la simulation basés sur les modifications apportées dans le panneau **Politiques**.  | 
| La ressource que vous avez tapée pour cette simulation ne correspond pas à ce service.  |  Ce message s'affiche si vous avez tapé un Amazon Resource Name (ARN) dans le panneau **Simulation Settings (Paramètres de simulation)** qui ne correspond pas au service que vous avez choisi pour la simulation actuelle. Par exemple, ce message s'affiche si vous spécifiez un ARN pour une ressource Amazon DynamoDB, mais que vous avez choisi Amazon Redshift comme service à simuler. Pour ignorer ce message, procédez comme suit :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/access_policies_testing-policies.html)  | 
| Cette action appartient à un service qui prend en charge des mécanismes de contrôle d'accès spéciaux en plus des politiques basées sur les ressources, telles que les politiques de verrouillage des coffres-forts Amazon S3 ACLs ou Amazon Glacier. The policy simulator does not support these mechanisms, so the results can differ from your production environment.  |   **Aucune action requise.**  Ce message est informatif. Dans la version actuelle, le simulateur de politiques évalue les politiques attachées aux utilisateurs et aux groupes IAM, et peut évaluer les politiques basées sur les ressources pour Amazon S3, Amazon SQS, Amazon SNS et Amazon Glacier. Le simulateur de politique ne prend pas en charge tous les mécanismes de contrôle d'accès pris en charge par d'autres services AWS .  | 
| DynamoDB FGAC is currently not supported.  |   **Aucune action requise.**  Ce message d'information fait référence à un *contrôle précis des accès*. Le contrôle d'accès affiné est la possibilité d'utiliser des conditions de politique IAM pour déterminer qui peut accéder aux éléments de données et attributs individuels dans les tables et les index DynamoDB. Il fait également référence aux actions qui peuvent être effectuées sur ces tables et index. La version actuelle du simulateur de politique IAM ne prend pas en charge ce type de condition de politique. Pour plus d'informations sur le contrôle d'accès précis à DynamoDB, consultez [Contrôle d'accès précis pour DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html).  | 
| You have policies that do not comply with the policy syntax. Vous pouvez utiliser la validation de politique pour examiner les mises à jour recommandées de vos politiques.  |  Ce message apparaît en haut de la liste des politiques si vous disposez de politiques non conformes à la syntaxe des politiques IAM. Pour simuler ces politiques, veuillez consulter les options de validation de politiques à [Validation de politique IAM](access_policies_policy-validator.md) afin d'identifier et corriger ces politiques.  | 
|  This policy must be updated to comply with the latest policy syntax rules.  |  Ce message s'affiche si vous disposez de politiques non conformes à la syntaxe des politiques IAM. Pour simuler ces politiques, veuillez consulter les options de validation de politiques à [Validation de politique IAM](access_policies_policy-validator.md) afin d'identifier et corriger ces politiques.  | 

## Utilisation du simulateur de politique IAM (AWS CLI et de AWS l'API)
<a name="policies-simulator-using-api"></a>

Les commandes du simulateur de politique nécessitent généralement d'appeler des opérations d'API pour faire deux choses :

1. Évaluer les politiques et renvoyer la liste des clés de contexte auxquelles elles font référence. Vous devez savoir quelles clés de contexte sont référencées pour pouvoir leur attribuer des valeurs à l'étape suivante.

1. Simuler les politiques, en fournissant une liste d'actions, de ressources et de clés de contexte utilisées pendant la simulation.

Pour des raisons de sécurité, les opérations d'API ont été réparties en deux groupes :
+ Les opérations API qui simulent uniquement les politiques transmises directement à l'API sous forme de chaînes. Cet ensemble comprend [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)et [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html).
+ Les opérations API qui simulent les politiques attachées à un utilisateur IAM, un groupe, un rôle ou une ressource spécifiée. Du fait que les opérations d'API peuvent révéler des détails sur les autorisations affectées à d'autres entités IAM, vous devez envisager de restreindre l'accès à ces opérations API. Cet ensemble comprend [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)et [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html). Pour en savoir plus sur les restrictions appliquées aux opérations API, consultez [Exemples de politiques : Gestion des identités et des accès AWS (IAM)](access_policies_examples.md#policy_library_IAM).

Dans les deux cas, les opérations API simulent l'effet d'une ou de plusieurs politiques sur une liste d'actions et de ressources. Chaque action est appariée à chaque ressource et la simulation détermine si les politiques autorisent ou refusent cette action pour cette ressource. Vous pouvez également fournir des valeurs pour toutes les clés de contexte auxquelles vos politiques font référence. Vous pouvez obtenir la liste des clés de contexte auxquelles les politiques font référence en appelant d'abord [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) ou [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html). Si vous ne fournissez pas de valeur pour une clé de contexte, la simulation s'exécute malgré tout. En revanche, les résultats peuvent ne pas être fiables, car le simulateur de politiques ne peut pas inclure cette clé de contexte dans l'évaluation.

**Pour obtenir la liste des clés de contexte (AWS CLI, AWS API)**  
Utilisez les clés suivantes afin d'évaluer une liste de politiques et de renvoyer une liste de clés de contexte utilisées dans les politiques.
+ AWS CLI : [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) et [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)

**Pour simuler des politiques IAM (AWS CLI, AWS API)**  
Utilisez ce qui suit afin de simuler des politiques IAM pour déterminer les autorisations effectives d'un utilisateur.
+ AWS CLI : [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) et [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

# Ajout et suppression d'autorisations basées sur l'identité IAM
<a name="access_policies_manage-attach-detach"></a>

Vous utilisez des politiques pour définir les autorisations pour une identité (utilisateur, groupe d'utilisateurs ou rôle). Vous pouvez ajouter et supprimer des autorisations en attachant et en détachant des politiques IAM pour une identité à l'aide de l'API AWS Management Console, du AWS Command Line Interface (AWS CLI) ou de l' AWS API. Vous pouvez aussi utiliser des politiques afin de définir les [limites d'autorisations](access_policies_boundaries.md) uniquement pour les entités (utilisateurs ou rôles) qui utilisent les mêmes méthodes. Les limites d'autorisations sont une AWS fonctionnalité avancée qui contrôle le maximum d'autorisations qu'une entité peut avoir.

**Topics**
+ [Terminologie](#attach-detach-etc-terminology)
+ [Afficher l'activité d'identité](#attach-detach_prerequisites)
+ [Ajout des autorisations d'identité IAM (console)](#add-policies-console)
+ [Suppression des autorisations d'identité IAM (console)](#remove-policies-console)
+ [Ajout de politiques IAM (AWS CLI)](#add-policy-cli)
+ [Supprimer des politiques IAM (AWS CLI)](#remove-policy-cli)
+ [Ajouter des politiques IAM (AWS API)](#add-policy-api)
+ [Supprimer les politiques IAM (AWS API)](#remove-policy-api)

## Terminologie
<a name="attach-detach-etc-terminology"></a>

Lorsque vous associez des politiques d’autorisations à des identités (utilisateurs IAM, groupes IAM et rôles IAM), la terminologie et les procédures varient selon que vous utilisez ou pas une politique gérée ou en ligne :
+ **Attach** (Attacher) : utilisé avec les politiques gérées. Vous attachez une politique gérée à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'attachement d'une politique applique les autorisations de cette dernière à l'identité.
+ **Detach** (Détacher) : utilisé avec les politiques gérées. Vous détachez une politique gérée d'une identité IAM (utilisateur, groupe d'utilisateurs ou rôle). Le détachement d'une politique entraîne la suppression des ses autorisations de l'identité.
+ **Embed** (Intégrer) : utilisé avec les politiques en ligne. Vous intégrez une politique en ligne à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'intégration d'une politique applique les autorisations de cette dernière à l'identité. Dans la mesure où une politique en ligne est stockée dans l'identité, elle est intégrée plutôt qu'attachée, même si les résultats sont similaires.
**Note**  
Vous ne pouvez intégrer une politique en ligne pour un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)* que dans le service qui dépend du rôle. Veuillez consulter la [documentation AWS](https://docs.aws.amazon.com/) de votre service pour savoir si celui-ci prend en charge cette fonction.
+ **Delete** (Supprimer) : utilisé avec les politiques en ligne. Vous supprimez une politique en ligne d'une identité IAM (utilisateur, groupe d'utilisateurs ou rôle). La suppression d'une politique entraîne la suppression de ses autorisations de l'identité.
**Note**  
Vous ne pouvez supprimer une politique en ligne pour un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)* que dans le service qui dépend du rôle. Veuillez consulter la [documentation AWS](https://docs.aws.amazon.com/) de votre service pour savoir si celui-ci prend en charge cette fonction.

Vous pouvez utiliser la console ou AWS CLI l' AWS API pour effectuer l'une de ces actions.

### En savoir plus
<a name="terminology-more-info-roles-policies"></a>
+ Pour en savoir plus sur la différence entre les stratégies gérées et les stratégies en ligne, consultez [Politiques gérées et politiques en ligne](access_policies_managed-vs-inline.md). 
+ Pour plus d'informations sur les limites d'autorisations, consultez [Limites d'autorisations pour les entités IAM](access_policies_boundaries.md).
+ Pour obtenir des informations d'ordre général sur les politiques IAM, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).
+ Pour plus d'informations sur la validation des politiques IAM, veuillez consulter [Validation de politique IAM](access_policies_policy-validator.md).
+ Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

## Afficher l'activité d'identité
<a name="attach-detach_prerequisites"></a>

Avant de modifier les autorisations d'une identité (utilisateur, groupe d'utilisateurs ou rôle), vous devez examiner leur activité récente au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

## Ajout des autorisations d'identité IAM (console)
<a name="add-policies-console"></a>

Vous pouvez utiliser le AWS Management Console pour ajouter des autorisations à une identité (utilisateur, groupe d'utilisateurs ou rôle). Pour ce faire, attachez les stratégies gérées qui contrôlent les autorisations, ou spécifiez une stratégie qui sert de [limite d'autorisations](access_policies_boundaries.md). Vous pouvez également intégrer une politique en ligne.<a name="access_policies_manage-attach-detach-console"></a>

**Pour utiliser une politique gérée en tant que politique d'autorisations pour une identité (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**. 

1. Dans la liste des politiques, sélectionnez la case d'option en regard du nom de la politique à attacher. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Sélectionnez **Actions**, puis **Attach** (Attacher).

1. Sélectionnez une ou plusieurs identités auxquelles attacher la politique. Vous pouvez utiliser la zone de recherche pour filtrer la liste des entités principales. Après avoir sélectionné les identités, choisissez **Attacher une politique**.<a name="set-managed-policy-boundary-console"></a>

**Pour utiliser une politique gérée permettant de définir une limite d'autorisations (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**. 

1. Dans la liste des stratégies, choisissez le nom de celle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Sur la page des détails de la politique, choisissez l'onglet **Entités attachées**, puis, si nécessaire, ouvrez la section **Attachées en tant que limites des autorisations** et choisissez **Définir cette politique en tant que limite des autorisations**.

1. Sélectionnez un ou plusieurs utilisateurs ou rôles sur lesquels utiliser la politique comme limite d'autorisations. Vous pouvez utiliser la zone de recherche pour filtrer la liste des entités principales. Après avoir sélectionné les principaux, choisissez **Définir la limite des autorisations**.<a name="embed-inline-policy-console"></a>

**Pour intégrer une politique en ligne pour un utilisateur ou un rôle (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, sélectionnez **Users** (Utilisateurs) ou **Roles** (Rôles).

1. Dans la liste, sélectionnez le nom de l'utilisateur ou du rôle auquel intégrer une politique.

1. Sélectionnez l’onglet **Autorisations**. 

1. Sélectionnez **Ajouter des autorisations**, puis **Ajouter la politique**.

    
**Note**  
Vous ne pouvez pas intégrer une politique en ligne dans un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)* dans IAM. Comme le service lié définit si vous pouvez modifier les autorisations du rôle, vous pourrez peut-être ajouter des politiques depuis la console de service, l'API ou l’interface AWS CLI. Pour afficher la documentation d'un rôle lié à un service, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md) et choisissez **Oui **dans la colonne **Rôle lié à un service** de votre service.

1. Faites votre choix parmi les méthodes suivantes pour afficher les étapes requises pour créer votre politique :
   + [Importation de politiques gérées existantes](access_policies_create-console.md#access_policies_create-copy) : vous pouvez importer une politique gérée dans votre compte, puis la modifier afin de la personnaliser en fonction des vos exigences spécifiques. Une politique gérée peut être une politique AWS gérée ou une politique gérée par le client que vous avez créée précédemment.
   + [Création de politiques avec l'éditeur visuel](access_policies_create-console.md#access_policies_create-visual-editor) : vous pouvez construire intégralement une nouvelle politique dans l'éditeur visuel. Si vous utilisez l'éditeur visuel, vous n'avez pas besoin de comprendre la syntaxe JSON.
   + [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor) : dans l'option éditeur **JSON**, vous pouvez créer une politique à l'aide de la syntaxe JSON. Vous pouvez composer un nouveau document de stratégie JSON ou coller un [exemple de stratégie](access_policies_examples.md).

1. Une fois que vous avez créé une politique en, ligne, elle est automatiquement intégrée à votre utilisateur ou rôle.

**Pour intégrer une politique en ligne pour un groupe d'utilisateurs (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, sélectionnez **User groups** (Groupes d'utilisateurs).

1. Dans la liste, sélectionnez le nom du groupe d'utilisateurs auquel intégrer une politique.

1. Choisissez l'onglet **Permissions (Autorisations)**, puis **Add permissions (Ajouter des autorisations)**, et enfin **Create inline policy (Créer une politique en ligne)**.

1. Effectuez l’une des actions suivantes :
   + Sélectionnez l'option **Visuel** pour créer la politique. Pour de plus amples informations, veuillez consulter [Création de politiques avec l'éditeur visuel](access_policies_create-console.md#access_policies_create-visual-editor).
   + Sélectionnez l'option **JSON** pour créer la politique. Pour de plus amples informations, veuillez consulter [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).

1. Lorsque vous êtes satisfait de la politique, choisissez **Créer une politique**.<a name="replace-managed-policy-boundary-console"></a>

**Pour modifier la limite d'autorisations d'une ou plusieurs entités (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**. 

1. Dans la liste des stratégies, choisissez le nom de celle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Sur la page des détails de la politique, choisissez l'onglet **Entités attachées**, puis, si nécessaire, ouvrez la section **Attachées en tant que limite des autorisations**. Cochez la case en regard des utilisateurs ou des rôles dont vous voulez modifier les limites, puis choisissez **Modifier**.

1. Sélectionnez une nouvelle politique à utiliser comme limite d'autorisations. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques. Après avoir sélectionné la politique, choisissez **Définir la limite des autorisations**.

## Suppression des autorisations d'identité IAM (console)
<a name="remove-policies-console"></a>

Vous pouvez utiliser le AWS Management Console pour supprimer les autorisations associées à une identité (utilisateur, groupe d'utilisateurs ou rôle). Pour ce faire, détachez les politiques gérées qui contrôlent les autorisations, ou supprimez une politique qui a servi de [limite d'autorisations](access_policies_boundaries.md). Vous pouvez également supprimer une politique en ligne.<a name="detach-managed-policy-console"></a>

**Pour détacher une politique gérée utilisée en tant que politique d'autorisations (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**. 

1. Dans la liste des politiques, sélectionnez la case d'option en regard du nom de la politique à détacher. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Sélectionnez **Actions**, puis **Detach** (Détacher).

1. Sélectionnez les identités desquelles détacher la politique. Vous pouvez utiliser la zone de recherche pour filtrer la liste des identités. Après avoir sélectionné les identités, choisissez **Détacher la politique**.<a name="remove-managed-policy-boundary-console"></a>

**Pour supprimer une limite d'autorisations (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**. 

1. Dans la liste des stratégies, choisissez le nom de celle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Sur la page de résumé de la politique, choisissez l'onglet **Entités attachées**, puis, si nécessaire, ouvrez la section **Attachée en tant que limite des autorisations** et choisissez les entités pour lesquelles vous supprimez la limite des autorisations. Puis, choisissez **Supprimer la limite**.

1. Confirmez la suppression de la limite et choisissez **Supprimer la limite**.<a name="delete-inline-policy-console"></a>

**Pour supprimer une politique en ligne (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, sélectionnez **User groups** (Groupes d'utilisateurs), **Users** (Utilisateurs) ou **Roles** (Rôles).

1. Choisissez dans la liste le nom du groupe d'utilisateurs, de l'utilisateur ou du rôle pour lequel vous souhaitez supprimer la politique.

1. Sélectionnez l’onglet **Autorisations**.

1. Cochez la case en regard de la politique et choisissez **Supprimer**.

1. Dans la boîte de confirmation, choisissez **Supprimer**.

## Ajout de politiques IAM (AWS CLI)
<a name="add-policy-cli"></a>

Vous pouvez utiliser le AWS CLI pour ajouter des autorisations à une identité (utilisateur, groupe d'utilisateurs ou rôle). Pour ce faire, attachez les stratégies gérées qui contrôlent les autorisations, ou spécifiez une stratégie qui sert de [limite d'autorisations](access_policies_boundaries.md). Vous pouvez également intégrer une politique en ligne.

**Pour utiliser une politique gérée en tant que politique d'autorisations pour une entité (AWS CLI)**

1. (Facultatif) Pour afficher les informations d'une politique gérée, exécutez les commandes suivantes : 
   + Pour répertorier les stratégies gérées : [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Pour récupérer les informations détaillées sur une politique gérée : [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Pour attacher une politique gérée à une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes : 
   + [était un objectif attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
   + [était un objectif attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [était un objectif attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)

**Pour utiliser une politique gérée permettant de définir une limite d'autorisations (AWS CLI)**

1. (Facultatif) Pour afficher les informations d'une politique gérée, exécutez les commandes suivantes : 
   + Pour répertorier les stratégies gérées : [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Pour récupérer les informations détaillées sur une politique gérée : [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Pour utiliser une politique gérée permettant de définir la limite d'autorisations pour une entité (utilisateur ou rôle), utilisez l'une des commandes suivantes : 
   + [était un objectif put-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-permissions-boundary.html)
   + [était un objectif put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)

**Pour intégrer une politique en ligne (AWS CLI)**  
Pour intégrer une politique en ligne à une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*), utilisez l'une des commandes suivantes : 
+ [était un objectif put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [était un objectif put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [était un objectif put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)

## Supprimer des politiques IAM (AWS CLI)
<a name="remove-policy-cli"></a>

Vous pouvez utiliser le AWS CLI pour détacher les politiques gérées qui contrôlent les autorisations ou supprimer une politique qui sert de [limite d'autorisations](access_policies_boundaries.md). Vous pouvez également supprimer une politique en ligne.

**Pour détacher une politique gérée utilisée en tant que politique d'autorisations (AWS CLI)**

1. (Facultatif) Pour afficher des informations sur une politique, exécutez les commandes suivantes :
   + Pour répertorier les stratégies gérées : [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Pour récupérer les informations détaillées sur une politique gérée : [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, exécutez les commandes suivantes :
   + Pour répertorier les identités (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles une politique gérée est attachée : 
     + [était un objectif list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :
     + [était un objectif list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [était un objectif list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [était un objectif list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Pour détacher une politique gérée d'une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :
   + [était un objectif detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [était un objectif detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [était un objectif detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)

**Pour supprimer une limite d'autorisations (AWS CLI)**

1. (Facultatif)Pour afficher la politique gérée actuellement utilisée pour définir la limite d'autorisations d'un utilisateur ou rôle, exécutez les commandes suivantes :
   + [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
   +  [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 

1. (Facultatif)Pour afficher les utilisateurs ou rôles sur lesquels une politique gérée est utilisée pour une limite d'autorisations, exécutez la commande suivante :
   + [était un objectif list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)

1. (Facultatif) Pour afficher les informations d'une politique gérée, exécutez les commandes suivantes :
   + Pour répertorier les stratégies gérées : [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Pour récupérer les informations détaillées sur une politique gérée : [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. Pour supprimer une limite d'autorisations d'un utilisateur ou d'un rôle, utilisez l'une des commandes suivantes :
   + [était un objectif delete-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [était un objectif delete-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-permissions-boundary.html)

**Pour supprimer une politique en ligne (AWS CLI)**

1. (Facultatif) Pour répertorier toutes les politiques en ligne attachées à une identité (utilisateur, groupe d'utilisateurs, rôle), utilisez l'une des commandes suivantes :
   + [était un objectif list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [était un objectif list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [était un objectif list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Facultatif) Pour récupérer un document de politique en ligne qui est intégré à une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :
   + [était un objectif get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [était un objectif get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [était un objectif get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Pour supprimer une politique en ligne d'une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*), utilisez l'une des commandes suivantes :
   + [était un objectif delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [était un objectif delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [était un objectif delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

## Ajouter des politiques IAM (AWS API)
<a name="add-policy-api"></a>

Vous pouvez utiliser l' AWS API pour associer des politiques gérées qui contrôlent les autorisations ou spécifier une politique qui sert de [limite d'autorisations](access_policies_boundaries.md). Vous pouvez également intégrer une politique en ligne.

**Pour utiliser une politique gérée comme politique d'autorisation pour une entité (AWS API)**

1. (Facultatif) Pour afficher des informations sur une politique, appelez les opérations suivantes : 
   + Pour répertorier les politiques gérées : [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html) 
   + Pour récupérer des informations détaillées sur une politique gérée, procédez comme suit : [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Pour attacher une politique gérée à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
   + [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
   + [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
   + [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)

**Pour utiliser une politique gérée afin de définir une limite d'autorisations (AWS API)**

1. (Facultatif) Pour afficher les informations d'une politique gérée, appelez les opérations suivantes : 
   + Pour répertorier les politiques gérées : [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Pour récupérer des informations détaillées sur une politique gérée, procédez comme suit : [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Pour utiliser une politique gérée permettant de définir la limite d'autorisations pour une entité (utilisateur ou rôle), appelez l'une des opérations suivantes : 
   + [PutUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPermissionsBoundary.html)
   + [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)

**Pour intégrer une politique en ligne (API)AWS**  
Pour intégrer une politique en ligne à une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*), appelez l'une des opérations suivantes :
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)

## Supprimer les politiques IAM (AWS API)
<a name="remove-policy-api"></a>

Vous pouvez utiliser l' AWS API pour détacher les politiques gérées qui contrôlent les autorisations ou supprimer une politique qui sert de [limite d'autorisations](access_policies_boundaries.md). Vous pouvez également supprimer une politique en ligne.

**Pour détacher une politique gérée utilisée comme politique d'autorisation (AWS API)**

1. (Facultatif) Pour afficher des informations sur une politique, appelez les opérations suivantes :
   + Pour répertorier les politiques gérées : [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Pour récupérer des informations détaillées sur une politique gérée, procédez comme suit : [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, appelez les opérations suivantes :
   + Pour répertorier les identités (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles une politique gérée est attachée :
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Pour détacher une politique gérée d'une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
   + [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
   + [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
   + [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)

**Pour supprimer une limite d'autorisation (AWS API)**

1. (Facultatif)Pour afficher la politique gérée actuellement utilisée pour définir la limite d'autorisations d'un utilisateur ou rôle, appelez les opérations suivantes :
   + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
   + [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)

1. (Facultatif)Pour afficher les utilisateurs ou rôles sur lesquels une politique gérée est utilisée pour une limite d'autorisations, appelez l'opération suivante :
   + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)

1. (Facultatif) Pour afficher les informations d'une politique gérée, appelez les opérations suivantes :
   + Pour répertorier les politiques gérées : [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Pour récupérer des informations détaillées sur une politique gérée, procédez comme suit : [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Pour supprimer une limite d'autorisations d'un utilisateur ou d'un rôle, appelez l'une des opérations suivantes :
   + [DeleteUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPermissionsBoundary.html)
   + [DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)

**Pour supprimer une politique intégrée (AWS API)**

1. (Facultatif) Pour répertorier toutes les politiques en ligne attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Facultatif) Pour récupérer un document de politique en ligne qui est intégré à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Pour supprimer une politique en ligne d'une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*), appelez l'une des opérations suivantes :
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Gestion des versions des politiques IAM
<a name="access_policies_managed-versioning"></a>

Lorsque vous apportez des modifications à une politique gérée par un client IAM ou à une politique AWS gérée, la stratégie modifiée ne remplace pas la politique existante. AWS À la place, IAM crée une nouvelle *version* de la politique gérée. IAM stocke jusqu'à cinq versions de vos politiques gérées par le client. IAM ne prend pas en charge la gestion des versions pour les politiques en ligne. 

Le diagramme suivant illustre la gestion des versions pour une politique gérée par le client. Dans cet exemple, les versions de 1 à 4 sont enregistrées. Vous pouvez enregistrer jusqu'à cinq versions de politique gérées dans IAM. Lorsque vous créez une sixième version en modifiant une politique, vous pouvez choisir quelle version plus ancienne supprimer. Vous pouvez revenir à tout moment à l'une des quatre autres versions enregistrées.

![\[Les modifications apportées aux politiques gérées deviennent de nouvelles versions de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-managed-policies-versions-overview.diagram.png)


Une version de politique est différente d'un élément de politique `Version`. L'élément de politique `Version` est utilisé dans une politique pour définir la version de la langue de la politique. Pour en savoir plus sur l'élément de politique `Version`, consultez [Éléments de politique JSON IAM : Version](reference_policies_elements_version.md).

Vous pouvez utiliser ces versions pour effectuer le suivi d'une politique gérée. Par exemple, vous pouvez modifier une politique gérée et découvrir ensuite que le changement a eu des effets inattendus. Dans ce cas, vous pouvez revenir à un version précédente de la politique gérée en définissant la version précédente comme version *par défaut*. 

Les rubriques suivantes expliquent comment utiliser la gestion des versions avec les politiques gérées.

**Topics**
+ [Limites de version](#version-limits)
+ [Utilisation des versions pour l’annulation de modifications](#versions-roll-back)
+ [Autorisations pour définir la version par défaut d'une politique](#policy-version-permissions)
+ [Définition de la version par défaut des politiques gérées par le client](#default-version)

## Limites de version
<a name="version-limits"></a>

Une politique gérée peut avoir jusqu'à cinq versions. Si vous devez apporter des modifications à une politique gérée au-delà de cinq versions à partir de l' AWS Command Line Interface API ou de l' AWS API, vous devez d'abord supprimer une ou plusieurs versions existantes. Si vous utilisez le AWS Management Console, il n'est pas nécessaire de supprimer une version avant de modifier votre politique. Lorsque vous disposez d'une sixième version, une boîte de dialogue s'affiche pour vous inviter à supprimer une ou plusieurs versions personnalisées de votre politique. Vous pouvez également afficher le document de politique JSON pour vous aider à choisir. Pour plus d'informations sur cette boîte de dialogue, consultez la section [Modification de politiques IAM](access_policies_manage-edit.md).

Vous pouvez supprimer n'importe quelle version de la politique gérée de votre choix, sauf la version par défaut. Lorsque vous supprimez une version, les identificateurs de version des versions restantes ne changent pas. En conséquence, les identificateurs de version peuvent ne pas être séquentiels. Par exemple, si vous supprimez les versions v2 et v4 d'une politique gérée et que vous ajoutez deux nouvelles versions, les identificateurs de version restants peuvent être v1, v3, v5, v6 et v7. 

## Utilisation des versions pour l’annulation de modifications
<a name="versions-roll-back"></a>

Vous pouvez définir la version par défaut d'une politique gérée par le client pour annuler vos modifications. Par exemple, imaginez le scénario suivant:

Vous créez une politique gérée par le client qui autorise les utilisateurs à administrer un compartiment Amazon S3 spécifique à l'aide de la AWS Management Console. À sa création, votre politique gérée par le client dispose d'une version unique, identifiée comme v1. Cette version est donc définie automatiquement comme valeur par défaut. La politique fonctionne comme prévu. 

Plus tard, vous mettrez à jour la politique pour ajouter l'autorisation d'administrer un second compartiment Amazon S3. IAM crée une nouvelle version de la politique, identifiée en tant que v2, qui contient vos modifications. Vous définissez la version v2 comme version par défaut, et peu de temps après, vos utilisateurs signalent qu'ils n'ont pas l'autorisation d'utiliser la console Amazon S3. Dans ce cas, vous pouvez revenir à la version v1 de la politique, que vous savez fonctionner comme prévu. Pour cela, vous définissez la version v1 comme version par défaut. Vous utilisateurs sont désormais en mesure d'utiliser la console Amazon S3 pour administrer le compartiment d'origine. 

Plus tard, après avoir identifié l'erreur dans la version v2 de la politique, vous remettez à jour la politique pour ajouter l'autorisation d'administrer le second compartiment Amazon S3. IAM crée une autre version de la politique, identifiée en tant que v3. Vous définissez la version v3 comme version par défaut et cette version fonctionne comme prévu. À ce stade, vous supprimez la version v2 de la politique.

## Autorisations pour définir la version par défaut d'une politique
<a name="policy-version-permissions"></a>

Les autorisations qui sont requises pour définir la version par défaut d'une politique correspondent aux opérations d'API AWS pour la tâche. Vous pouvez utiliser les opérations d'API `CreatePolicyVersion` ou `SetDefaultPolicyVersion` pour définir la version par défaut d'une politique. Pour autoriser une personne à définir la version par défaut d'une politique existante, vous pouvez autoriser l'accès à l'action `iam:CreatePolicyVersion` ou l'action `iam:SetDefaultPolicyVersion`. L'action `iam:CreatePolicyVersion` permet de créer une nouvelle version de la politique et de définir cette version comme version par défaut. L'action `iam:SetDefaultPolicyVersion` permet de définir n'importe quelle version existante de la politique comme valeur par défaut.

**Important**  
Pour empêcher un utilisateur d’apporter des modifications à la version par défaut d’une politique, vous devez lui refuser à la fois `iam:CreatePolicyVersion` et `iam:SetDefaultPolicyVersion`.

Vous pouvez utiliser la politique suivante pour interdire à un utilisateur de modifier une politique existante gérée par le client :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}
```

------

## Définition de la version par défaut des politiques gérées par le client
<a name="default-version"></a>

L'une des versions d'une politique gérée est définie comme la version *par défaut*. La version par défaut de la politique est la version d’exécution, c’est-à-dire qu’il s’agit de la version en vigueur pour toutes les entités de principal (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles la politique gérée est attachée. 

Lorsque vous créez une politique gérée par le client, la politique commence par une version unique identifiée comme v1. Pour les politiques gérées avec une version unique, cette version est définie automatiquement comme valeur par défaut. Pour les politiques gérées par le client avec plusieurs versions, vous choisissez la version à définir par défaut. Pour les politiques AWS gérées, la version par défaut est définie par AWS. Les diagrammes suivants illustrent ce concept. 

![\[Politique gérée avec une version unique, qui est la version par défaut\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-one.diagram.png)




![\[Politique gérée par le client avec trois versions, où la version v2 est la version par défaut.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-multiple.diagram.png)


Vous pouvez définir la version par défaut d'une politique gérée par le client pour appliquer cette version à chaque entité IAM (utilisateur, groupe d'utilisateurs et rôle) à laquelle la politique gérée est attachée. Vous ne pouvez pas définir la version par défaut d'une politique AWS gérée ou d'une politique intégrée.

**Pour définir la version par défaut d'une politique gérée par le client (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Dans la liste des stratégies, choisissez le nom de la stratégie à définir comme la version par défaut. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Choisissez l'onglet **Versions de politique**. Cochez la case située en regard de la version que vous souhaitez définir comme version par défaut, puis choisissez **Définir par défaut**.

Pour savoir comment définir la version par défaut d'une politique gérée par le client à partir de l'API AWS Command Line Interface ou de l' AWS API, consultez[Modification de politiques IAM (AWS CLI)](access_policies_manage-edit-cli.md). 

# Modification de politiques IAM
<a name="access_policies_manage-edit"></a>

Une [politique](access_policies.md) est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Les politiques sont stockées AWS sous forme de documents JSON et sont attachées aux principes sous forme de *politiques basées sur l'identité* dans IAM. Vous pouvez attacher une politique basée sur identité à un principal (ou une identité), comme un groupe d'utilisateurs, un utilisateur ou un rôle IAM. Les politiques basées sur l'identité incluent les politiques AWS gérées, les politiques gérées par le client et les politiques [intégrées](access_policies_managed-vs-inline.md). Vous pouvez modifier les politiques gérées par le client et les politiques intégrées dans IAM. AWS les politiques gérées ne peuvent pas être modifiées. Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

Il est généralement préférable d'utiliser des politiques gérées par le client plutôt que des politiques intégrées ou des politiques AWS gérées. AWS les politiques gérées fournissent généralement des autorisations administratives ou en lecture seule étendues. Les politiques en ligne ne peuvent pas être réutilisées avec d’autres identités ni être gérées en dehors de l’identité où elles existent. Pour plus de sécurité, [octroyez le moindre privilège](best-practices.md#grant-least-privilege), c’est-à-dire n’accordez que les autorisations nécessaires à l’exécution de tâches spécifiques.

Lorsque vous créez ou modifiez des politiques IAM, vous AWS pouvez effectuer automatiquement la validation des politiques pour vous aider à créer une politique efficace avec le moindre privilège à l'esprit. Dans le AWS Management Console, IAM identifie les erreurs de syntaxe JSON, tandis qu'IAM Access Analyzer fournit des vérifications de politique supplémentaires avec des recommandations pour vous aider à affiner davantage vos politiques. Pour en savoir plus sur la validation de politiques, veuillez consulter [Validation de politique IAM](access_policies_policy-validator.md). Pour en savoir plus sur les vérifications des politiques IAM Access Analyzer et les recommandations exploitables, veuillez consulter [Validation de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Vous pouvez utiliser l' AWS API AWS Management Console AWS CLI, ou pour modifier les politiques gérées par le client et les politiques intégrées dans IAM. Pour plus d'informations sur l'utilisation de CloudFormation modèles pour ajouter ou mettre à jour des politiques, consultez la [référence aux types de Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) dans le *Guide de CloudFormation l'utilisateur*.

**Topics**
+ [Modification de politiques IAM (console)](access_policies_manage-edit-console.md)
+ [Modification de politiques IAM (AWS CLI)](access_policies_manage-edit-cli.md)
+ [Modifier les politiques IAM (AWS API)](access_policies_manage-edit-api.md)

# Modification de politiques IAM (console)
<a name="access_policies_manage-edit-console"></a>

Une [politique](access_policies.md) est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser le AWS Management Console pour modifier les *politiques gérées par le client et les* *politiques intégrées* dans IAM. AWS les politiques gérées ne peuvent pas être modifiées. Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

Pour plus d'informations sur la syntaxe et la structure de la politique, consultez les sections [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md) et [Référence de l’élément de politique JSON IAM](reference_policies_elements.md).

## Conditions préalables
<a name="edit-customer-managed-policy-console-prerequisites"></a>

Avant de modifier les autorisations d'une politique, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

## Modification de politiques gérées par le client (console)
<a name="edit-customer-managed-policy-console"></a>

Vous pouvez modifier les politiques gérées par le client pour modifier les autorisations définies dans la politique depuis l’ AWS Management Console. Une politique gérée le client peut avoir jusqu'à cinq versions. Ceci est important, car si vous devez modifier une politique gérée au-delà de cinq versions, l’interface AWS Management Console vous invite à choisir quelle version supprimer. Vous pouvez également modifier la version par défaut ou supprimer une version d'une politique avant de modifier celle-ci a pour éviter d'y être invité. Pour en savoir plus sur les versions, consultez [Gestion des versions des politiques IAM](access_policies_managed-versioning.md).

------
#### [ Console ]

**Pour modifier une politique gérée par le client**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Dans la liste des politiques, choisissez le nom de la politique à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Choisissez l'onglet **Autorisations**, puis **Modifier**. 

1. Effectuez l’une des actions suivantes :
   + Choisissez l'option **Visuel** pour modifier votre politique sans comprendre la syntaxe JSON. Vous pouvez apporter des modifications au service, aux ressources d’actions ou à des conditions facultatives pour chaque bloc d’autorisation de votre politique. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Lorsque vous avez fini d'apporter des modifications, choisissez **Suivant** pour continuer.
   + Choisissez l'option **JSON** pour modifier votre politique en tapant ou en collant du texte dans la zone de texte JSON. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](access_policies_policy-validator.md), puis choisissez **Suivant**. 
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Sur la page **Vérifier et enregistrer**, vérifiez les **Autorisations définies dans cette politique**, puis choisissez **Enregistrer les modifications** pour enregistrer votre travail.

1. Si la politique gérée dispose déjà du maximum de cinq versions, une boîte de dialogue s'affiche lorsque vous choisissez **Enregistrer les modifications**. Pour enregistrer votre nouvelle version, la version la plus ancienne de la politique est supprimée et remplacée par cette nouvelle version. Vous pouvez choisir de définir la nouvelle version en tant que version par défaut de la politique.

   Choisissez **Enregistrer les modifications** pour enregistrer votre nouvelle version de la politique.

------

## Définition de la version par défaut d’une politique gérée par le client (console)
<a name="edit-customer-managed-policy-console-set-default-policy-version"></a>

Vous pouvez définir une version par défaut d'une politique gérée par le client à partir du AWS Management Console. Vous pouvez utiliser cette politique pour établir une configuration de base cohérente pour les autorisations au sein de votre organisation. Tous les nouveaux attachements de la politique utiliseront cet ensemble standardisé d’autorisations.

------
#### [  Console  ]

**Pour définir la version par défaut d'une politique gérée par le client (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Dans la liste des stratégies, choisissez le nom de la stratégie à définir comme la version par défaut. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Choisissez l'onglet **Versions de politique**. Cochez la case située en regard de la version que vous souhaitez définir comme version par défaut, puis choisissez **Définir par défaut**.

------

## Suppression d’une version de politique gérée par le client (console)
<a name="edit-customer-managed-policy-console-delete-policy-version"></a>

Vous devrez peut-être supprimer une version d’une politique gérée par le client afin de supprimer les autorisations obsolètes ou incorrectes qui ne sont plus nécessaires ou qui présentent des risques pour la sécurité. En ne conservant que les versions nécessaires, vous pouvez vous assurer de rester dans la limite des cinq versions de politiques gérées, ce qui vous laisse une marge de manœuvre pour les mises à jour et les améliorations futures. Vous pouvez supprimer une version d’une politique gérée par le client depuis l’ AWS Management Console.

------
#### [ Console ]

**Pour supprimer une version d’une politique gérée par le client**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Choisissez le nom de la politique gérée par le client dont vous souhaitez supprimer une version. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Choisissez l'onglet **Versions de politique**. Activez la case à cocher en regard de la version à supprimer. Ensuite, choisissez **Supprimer**.

1. Confirmez que vous voulez supprimer la version, puis choisissez **Supprimer**.

------

## Modification de politiques en ligne (console)
<a name="edit-inline-policy-console"></a>

Vous devrez peut-être modifier une politique gérée par le client afin de mettre à jour ou d’affiner les autorisations accordées, en veillant à ce qu’elles restent conformes aux exigences de sécurité et aux besoins de contrôle d’accès en constante évolution de votre organisation. La modification vous permet d’ajuster le document JSON de la politique, en ajoutant, modifiant ou supprimant des actions, des ressources ou des conditions spécifiques afin de respecter le principe du moindre privilège et de vous adapter aux changements dans votre environnement ou vos processus. Vous pouvez modifier une politique en ligne à partir de l’interface AWS Management Console.

------
#### [ Console ]

**Pour modifier une politique en ligne pour un utilisateur, un groupe d’utilisateurs ou un rôle**

1. Dans le panneau de navigation, sélectionnez **Users** (Utilisateurs), **User groups** (Groupes d'utilisateurs) ou **Roles** (Rôles).

1. Choisissez le nom de l'utilisateur, du groupe d'utilisateurs ou du rôle ayant la politique que vous souhaitez modifier. Choisissez ensuite l'onglet **Autorisations** et développez la politique.

1. Pour modifier une politique en ligne, choisissez **Modifier la politique**. 

1. Effectuez l’une des actions suivantes :
   + Choisissez l'option **Visuel** pour modifier votre politique sans comprendre la syntaxe JSON. Vous pouvez apporter des modifications au service, aux ressources d’actions ou à des conditions facultatives pour chaque bloc d’autorisation de votre politique. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Lorsque vous avez fini d'apporter des modifications, choisissez **Suivant** pour continuer.
   + Choisissez l'option **JSON** pour modifier votre politique en tapant ou en collant du texte dans la zone de texte JSON. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](access_policies_policy-validator.md), puis choisissez **Suivant**. Pour enregistrer vos modifications sans affecter les entités actuellement attachées, désactivez la case à cocher **Définir comme version par défaut**.
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Sur la page **Vérifier**, vérifiez le résumé de la politique, puis choisissez **Enregistrer les modifications** pour enregistrer votre travail.

------

# Modification de politiques IAM (AWS CLI)
<a name="access_policies_manage-edit-cli"></a>

Une [politique](access_policies.md) est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser le AWS Command Line Interface (AWS CLI) pour modifier les *politiques gérées par le client et les* *politiques intégrées* dans IAM. AWS les politiques gérées ne peuvent pas être modifiées. Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

Pour plus d'informations sur la syntaxe et la structure de la politique, consultez les sections [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md) et [Référence de l’élément de politique JSON IAM](reference_policies_elements.md).

## Conditions préalables
<a name="edit-customer-managed-policy-cli-prerequisites"></a>

Avant de modifier les autorisations d'une politique, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

## Modification des politiques gérées par le client (AWS CLI)
<a name="edit-customer-managed-policy-cli"></a>

Vous pouvez modifier une politique gérée par le client à partir du AWS CLI.

**Note**  
Une politique gérée peut avoir jusqu'à cinq versions. Si vous devez modifier une politique gérée par le client au-delà de cinq versions, vous devez d'abord supprimer une ou plusieurs versions existantes.

**Pour modifier une politique gérée par le client (AWS CLI)**

1. (Facultatif) Pour afficher des informations sur une politique, exécutez les commandes suivantes :
   + Pour répertorier les stratégies gérées : [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Pour récupérer les informations détaillées sur une politique gérée : [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, exécutez les commandes suivantes :
   + Pour répertorier les identités (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles une politique gérée est attachée : 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle) :
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Pour modifier une politique gérée par le client, exécutez la commande suivante :
   + [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)

1. (Facultatif) Pour valider une politique gérée par le client, exécutez la commande IAM Access Analyzer suivante :
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

## Définition de la version par défaut d’une politique gérée par le client (AWS CLI)
<a name="edit-customer-managed-policy-cli-set-default-policy-version"></a>

Vous pouvez définir une version par défaut d'une politique gérée par le client à partir du AWS CLI.

**Pour définir la version par défaut d'une politique gérée par le client (AWS CLI)**

1. (Facultatif) Pour répertorier les stratégies gérées, exécutez la commande suivante :
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Pour définir la version par défaut d'une politique gérée par le client, exécutez la commande suivante :
   + [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)

## Suppression d’une version de politique gérée par le client (AWS CLI)
<a name="edit-customer-managed-policy-cli-delete-policy-version"></a>

Vous pouvez supprimer une version d’une politique gérée par le client depuis l’ AWS CLI.

**Pour supprimer une version d'une politique gérée par le client (AWS CLI)**

1. (Facultatif) Pour répertorier les stratégies gérées, exécutez la commande suivante :
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Pour supprimer une politique gérée par le client, exécutez la commande suivante :
   + [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)

## Modification de politiques en ligne (AWS CLI)
<a name="edit-inline-policy-cli"></a>

Vous pouvez modifier une politique en ligne à partir de l’interface AWS CLI.

**Pour modifier une politique en ligne (AWS CLI)**

1. (Facultatif) Pour afficher des informations sur une politique, exécutez les commandes suivantes :
   + Pour répertorier les politiques en ligne attachées à une identité (utilisateur, groupe d’utilisateurs ou rôle) : 
     + [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
     + [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
     + [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + Pour récupérer les informations détaillées sur une politique en ligne : 
     + [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
     + [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
     + [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)

1. Pour modifier une politique en ligne, exécutez la commande suivante :
   + [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
   + [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
   + [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)

1. (Facultatif) Pour valider une politique en ligne, exécutez la commande de l’analyseur d’accès IAM suivante :
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Modifier les politiques IAM (AWS API)
<a name="access_policies_manage-edit-api"></a>

Une [politique](access_policies.md) est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser l' AWS API pour modifier les *politiques gérées par le client et les* *politiques intégrées* dans IAM. AWS les politiques gérées ne peuvent pas être modifiées. Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

Pour plus d'informations sur la syntaxe et la structure de la politique, consultez les sections [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md) et [Référence de l’élément de politique JSON IAM](reference_policies_elements.md).

## Conditions préalables
<a name="edit-customer-managed-policy-api-prerequisites"></a>

Avant de modifier les autorisations d'une politique, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

## Modification des politiques gérées par le client (AWS API)
<a name="edit-customer-managed-policy-api"></a>

Vous pouvez modifier une politique gérée par le client à l'aide de l' AWS API.

**Note**  
Une politique gérée peut avoir jusqu'à cinq versions. Si vous devez modifier une politique gérée par le client au-delà de cinq versions, vous devez d'abord supprimer une ou plusieurs versions existantes.

**Pour modifier une politique gérée par le client (AWS API)**

1. (Facultatif) Pour afficher des informations sur une politique, appelez les opérations suivantes :
   + Pour répertorier les politiques gérées : [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Pour récupérer des informations détaillées sur une politique gérée, procédez comme suit : [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, appelez les opérations suivantes :
   + Pour répertorier les identités (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles une politique gérée est attachée : 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle) :
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Pour modifier une politique gérée par le client, appelez l'opération suivante :
   + [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)

1. (Facultatif) Pour valider une politique gérée par le client, appelez l'opération IAM Access Analyzer suivante :
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

## Configuration de la version par défaut d'une politique gérée par le client (AWS API)
<a name="edit-customer-managed-policy-api-set-default-policy-version"></a>

Vous pouvez définir une version par défaut d'une politique gérée par le client à partir de l' AWS API.

**Pour définir la version par défaut d'une politique gérée par le client (AWS API)**

1. (Facultatif) Pour répertorier les stratégies gérées, appelez l'opération suivante :
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Pour définir la version par défaut d'une politique gérée par le client, appelez l'opération suivante :
   + [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

## Supprimer une version d'une politique gérée par le client (AWS API)
<a name="edit-customer-managed-policy-api-delete-policy-version"></a>

Vous pouvez supprimer une version d'une politique gérée par le client de l' AWS API.

**Pour supprimer une version d'une politique gérée par le client (AWS API)**

1. (Facultatif) Pour répertorier les stratégies gérées, appelez l'opération suivante :
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Pour supprimer une politique gérée par le client, appelez l'opération suivante :
   + [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)

## Modification des politiques intégrées (AWS API)
<a name="edit-inline-policy-api"></a>

Vous pouvez modifier une politique en ligne depuis l' AWS API.

**Pour modifier une politique intégrée (AWS API)**

1. (Facultatif) Pour afficher des informations sur une politique en ligne, exécutez les opérations suivantes :
   + Pour répertorier les politiques en ligne attachées à une identité (utilisateur, groupe d’utilisateurs ou rôle) : 
     + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
     + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
     + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + Pour récupérer les informations détaillées sur une politique en ligne : 
     + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
     + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
     + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)

1. Pour modifier une politique en ligne, exécutez les opérations suivantes :
   + [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
   + [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
   + [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)

1. (Facultatif) Pour valider une politique en ligne, exécutez les opérations de l’analyseur d’accès IAM suivantes :
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Suppression de politiques IAM
<a name="access_policies_manage-delete"></a>

Vous pouvez supprimer les politiques IAM à l'aide de AWS Management Console, du AWS Command Line Interface (AWS CLI) ou de l' AWS API.

**Note**  
Toute suppression d'une politique IAM est définitive. Une fois la politique supprimée, elle ne peut plus être récupérée.

Pour plus d’informations sur la syntaxe et la structure de la politique IAM, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md) et [Référence de l’élément de politique JSON IAM](reference_policies_elements.md).

Pour en savoir plus sur la différence entre les stratégies gérées et les stratégies en ligne, consultez [Politiques gérées et politiques en ligne](access_policies_managed-vs-inline.md). 

Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

**Topics**
+ [Suppression de politiques IAM (console)](access_policies_manage-delete-console.md)
+ [Suppression de politiques IAM (AWS CLI)](access_policies_manage-delete-cli.md)
+ [Supprimer les politiques IAM (AWS API)](access_policies_manage-delete-api.md)

# Suppression de politiques IAM (console)
<a name="access_policies_manage-delete-console"></a>

Vous pouvez utiliser le AWS Management Console pour supprimer les *politiques gérées par le client et les* *politiques intégrées* dans IAM. Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

**Note**  
Toute suppression d'une politique IAM est définitive. Une fois la politique supprimée, elle ne peut plus être récupérée.

Pour plus d’informations sur la syntaxe et la structure de la politique IAM, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md) et [Référence de l’élément de politique JSON IAM](reference_policies_elements.md).

Pour en savoir plus sur la différence entre les stratégies gérées et les stratégies en ligne, consultez [Politiques gérées et politiques en ligne](access_policies_managed-vs-inline.md). 

## Conditions préalables
<a name="delete-policy-prerequisites-console"></a>

Avant de supprimer une politique, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

## Création de politiques de rôle IAM (console)
<a name="delete-customer-managed-policy-console"></a>

Vous devrez peut-être supprimer une politique gérée par le client lorsqu’elle devient obsolète ou ne correspond plus aux exigences de sécurité et aux besoins de contrôle d’accès de votre organisation. En supprimant les politiques inutiles, vous réduisez les risques de sécurité potentiels associés aux politiques obsolètes ou non utilisées. Vous pouvez supprimer une politique gérée par le client pour la retirer de votre Compte AWS. Vous ne pouvez pas supprimer les politiques AWS gérées.

------
#### [ Console ]

**Pour supprimer une politique gérée par le client**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Sélectionnez la case d'option en regard de la politique gérée par le client à supprimer. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

1. Choisissez **Actions**, puis choisissez **Supprimer**.

1. Suivez les instructions pour confirmer la suppression de la politique, puis choisissez **Supprimer**.

------

## Suppression de politiques en ligne (console)
<a name="delete-inline-policy-console"></a>

Vous devrez peut-être supprimer une politique intégrée lorsque les autorisations spécifiques qu’elle accorde ne sont plus nécessaires pour l’utilisateur, le groupe ou le rôle IAM auquel elle est directement associée. La suppression des politiques en ligne inutiles permet de réduire le risque d’accès involontaire, d’autant plus que les politiques en ligne ne peuvent pas être réutilisées ou partagées entre plusieurs identités, contrairement aux politiques gérées. Vous pouvez supprimer une politique intégrée pour la supprimer de votre Compte AWS. Vous ne pouvez pas supprimer les politiques gérées AWS .

------
#### [ Console ]

**Pour supprimer une politique en ligne pour un utilisateur, un groupe ou un rôle IAM**

1. Dans le panneau de navigation, sélectionnez **User groups** (Groupes d'utilisateurs), **Users** (Utilisateurs) ou **Roles** (Rôles).

1. Choisissez le nom du groupe d'utilisateurs, de l'utilisateur ou du rôle et la politique que vous souhaitez supprimer. Ensuite, choisissez l'onglet **Autorisations**.

1. Cochez les cases en regard des politiques à supprimer et choisissez **Supprimer**. Ensuite, dans la boîte de dialogue de confirmation, confirmez le retrait et la suppression de la politique.
   + Pour supprimer une politique en ligne dans **Utilisateurs** ou **Rôles**, choisissez **Supprimer** pour confirmer la suppression.
   + Si vous supprimez une seule politique en ligne dans**Groupes d'utilisateurs**, tapez le nom de la politique et choisissez**Supprimer**. Si vous supprimez plusieurs politiques en ligne dans **User groups (Groupes d'utilisateurs)**, tapez le nombre de politiques à supprimer, suivi de **inline policies**, puis choisissez **Delete (Supprimer)**. Par exemple, si vous supprimez trois politiques en ligne, tapez **3 inline policies**.

------

# Suppression de politiques IAM (AWS CLI)
<a name="access_policies_manage-delete-cli"></a>

Vous pouvez utiliser le AWS Command Line Interface (AWS CLI) pour supprimer les *politiques gérées par le client et les* *politiques intégrées* dans IAM. Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

**Note**  
Toute suppression d'une politique IAM est définitive. Une fois la politique supprimée, elle ne peut plus être récupérée.

Pour plus d’informations sur la syntaxe et la structure de la politique IAM, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md) et [Référence de l’élément de politique JSON IAM](reference_policies_elements.md).

Pour en savoir plus sur la différence entre les stratégies gérées et les stratégies en ligne, consultez [Politiques gérées et politiques en ligne](access_policies_managed-vs-inline.md). 

## Conditions préalables
<a name="delete-policy-prerequisites-cli"></a>

Avant de supprimer une politique, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

## Suppression de politiques gérées par le client (AWS CLI)
<a name="delete-customer-managed-policy-cli"></a>

Vous pouvez supprimer une politique gérée par le client à partir de l’interface AWS Command Line Interface.

**Pour supprimer une politique gérée par le client (AWS CLI)**

1. (Facultatif) Pour afficher des informations sur une politique, exécutez les commandes suivantes :
   + Pour répertorier les stratégies gérées : [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Pour récupérer les informations détaillées sur une politique gérée : [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, exécutez les commandes suivantes :
   + Pour répertorier les identités (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles une politique gérée est attachée, exécutez la commande suivante : 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), exécutez l'une des commandes suivantes :
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Pour supprimer une politique gérée par le client, exécutez la commande suivante :
   + [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html)

## Suppression de politiques en ligne (AWS CLI)
<a name="delete-inline-policy-cli"></a>

Vous pouvez supprimer une politique en ligne à partir de l’ AWS CLI.

**Pour supprimer une politique en ligne (AWS CLI)**

1. (Facultatif) Pour répertorier toutes les politiques en ligne attachées à une identité (utilisateur, groupe d'utilisateurs, rôle), utilisez l'une des commandes suivantes :
   + [était un objectif list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [était un objectif list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [était un objectif list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Facultatif) Pour récupérer un document de politique en ligne qui est intégré à une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :
   + [était un objectif get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [était un objectif get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [était un objectif get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Pour supprimer une politique en ligne d'une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*), utilisez l'une des commandes suivantes :
   + [était un objectif delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [était un objectif delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [était un objectif delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

# Supprimer les politiques IAM (AWS API)
<a name="access_policies_manage-delete-api"></a>

Vous pouvez utiliser l' AWS API pour supprimer les *politiques gérées par le client et les* *politiques intégrées* dans IAM. Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).

**Note**  
Toute suppression d'une politique IAM est définitive. Une fois la politique supprimée, elle ne peut plus être récupérée.

Pour plus d’informations sur la syntaxe et la structure de la politique IAM, consultez [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md) et [Référence de l’élément de politique JSON IAM](reference_policies_elements.md).

Pour en savoir plus sur la différence entre les stratégies gérées et les stratégies en ligne, consultez [Politiques gérées et politiques en ligne](access_policies_managed-vs-inline.md). 

## Conditions préalables
<a name="delete-policy-prerequisites-api"></a>

Avant de supprimer une politique, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

## Supprimer les politiques gérées par le client (AWS API)
<a name="delete-customer-managed-policy-api"></a>

Vous pouvez supprimer une politique gérée par le client à l'aide de l' AWS API.

**Pour supprimer une politique gérée par le client (AWS API)**

1. (Facultatif) Pour afficher des informations sur une politique, appelez les opérations suivantes :
   + Pour répertorier les politiques gérées : [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Pour récupérer des informations détaillées sur une politique gérée, procédez comme suit : [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, appelez les opérations suivantes :
   + Pour répertorier les identités (utilisateurs IAM, groupes IAM et rôles IAM) auxquelles une politique gérée est attachée, appelez l’opération suivante : 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Pour supprimer une politique gérée par le client, appelez l'opération suivante :
   + [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)

## Suppression de politiques intégrées (AWS API)
<a name="delete-inline-policy-api"></a>

Vous pouvez supprimer une politique intégrée à l'aide de l' AWS API.

**Pour supprimer une politique intégrée (AWS API)**

1. (Facultatif) Pour répertorier toutes les politiques en ligne attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Facultatif) Pour récupérer un document de politique en ligne qui est intégré à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Pour supprimer une politique en ligne d'une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un *[rôle lié à un service](id_roles.md#iam-term-service-linked-role)*), appelez l'une des opérations suivantes :
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Affiner les autorisations en AWS utilisant les dernières informations consultées
<a name="access_policies_last-accessed"></a>

En tant qu'administrateur, vous pouvez accorder davantage d'autorisations aux ressources IAM (rôles, utilisateurs, groupes d'utilisateurs ou politiques) qu'elles n'en nécessitent. IAM fournit les dernières informations consultées pour vous aider à identifier les autorisations inutilisées et les supprimer. Vous pouvez utiliser les dernières informations consultées pour affiner vos politiques et n'autoriser l'accès qu'aux services et actions utilisés par vos identités et politiques IAM. Cela vous permet de mieux respecter la [bonne pratique que l'on appelle principe du moindre privilège.](best-practices.md#grant-least-privilege) Vous pouvez afficher les dernières informations consultées pour les identités ou les politiques qui existent dans IAM ou AWS Organizations.

Vous pouvez surveiller en permanence les dernières informations consultées à l’aide d’analyseurs d’accès non utilisés. Pour plus d’informations, consultez [Résultats des accès externes et non utilisés](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html).

**Topics**
+ [Types des dernières informations consultées pour IAM](#access_policies_last-accessed-data-types)
+ [Dernières informations consultées pour AWS Organizations](#access_policies_last-accessed-orgs)
+ [Choses à savoir sur les dernières informations consultées](#access_policies_last-accessed-know)
+ [Autorisations nécessaires](#access_policies_last-accessed-permissions)
+ [Résoudre les problèmes liés à l'IAM et aux entités AWS Organizations](#access_policies_last-accessed-troubleshooting)
+ [Où AWS suit les dernières informations consultées](#last-accessed_tracking-period)
+ [Affichage des dernières informations consultées pour IAM](access_policies_last-accessed-view-data.md)
+ [Afficher les dernières informations consultées pour AWS Organizations](access_policies_last-accessed-view-data-orgs.md)
+ [Exemples de scénarios d'utilisation des dernières informations consultées](access_policies_last-accessed-example-scenarios.md)
+ [Services et actions concernant les dernières informations consultées relatives à une action IAM](access_policies_last-accessed-action-last-accessed.md)

## Types des dernières informations consultées pour IAM
<a name="access_policies_last-accessed-data-types"></a>

Vous pouvez afficher deux types de dernières informations consultées pour les identités IAM : les informations sur les services  AWS autorisés et les informations sur les actions autorisées. Les informations incluent la date et l'heure auxquelles la tentative d'accès à une AWS API a été faite. Pour les actions, les dernières informations consultées font état des actions de gestion des services. Les actions de gestion comprennent les actions de création, de suppression et de modification. Pour en savoir plus sur la façon d'afficher les dernières informations consultées pour IAM, consultez [Affichage des dernières informations consultées pour IAM](access_policies_last-accessed-view-data.md).

Pour obtenir des exemples de scénarios concernant l'utilisation des dernières informations consultées dans le but de prendre des décisions sur les autorisations que vous accordez à vos identités IAM, veuillez consulter [Exemples de scénarios d'utilisation des dernières informations consultées](access_policies_last-accessed-example-scenarios.md).

Pour en savoir plus sur la façon dont les informations relatives aux actions de gestion sont fournies, consultez [Choses à savoir sur les dernières informations consultées](#access_policies_last-accessed-know).

## Dernières informations consultées pour AWS Organizations
<a name="access_policies_last-accessed-orgs"></a>

Si vous vous connectez à l'aide des informations d'identification du compte de gestion, vous pouvez consulter les informations du dernier accès au service pour une AWS Organizations entité ou une politique de votre organisation. AWS Organizations les entités incluent la racine de l'organisation, les unités organisationnelles (OUs) ou les comptes. Les dernières informations consultées pour AWS Organizations incluent des informations sur les services autorisés par une politique de contrôle des services (SCP). Les informations indiquent quels principaux (utilisateur root, utilisateur IAM ou fonction) d'une organisation ou d'un compte ont tenté pour la dernière fois d'accéder au service et à quel moment. Pour en savoir plus sur le rapport et sur la façon de consulter les dernières informations consultées pour AWS Organizations, voir[Afficher les dernières informations consultées pour AWS Organizations](access_policies_last-accessed-view-data-orgs.md).

Pour des exemples de scénarios d'utilisation des dernières informations consultées pour prendre des décisions concernant les autorisations que vous accordez à vos AWS Organizations entités, voir[Exemples de scénarios d'utilisation des dernières informations consultées](access_policies_last-accessed-example-scenarios.md).

## Choses à savoir sur les dernières informations consultées
<a name="access_policies_last-accessed-know"></a>

Avant d'utiliser les dernières informations d'un rapport auxquelles vous avez accédé pour modifier les autorisations d'une identité ou d'une AWS Organizations entité IAM, passez en revue les informations suivantes.
+ **Période de suivi** : l'activité récente apparaît dans la console IAM dans un délai de quatre heures. La période de suivi pour les informations de service s’étend sur au moins 400 jours, en fonction de la date à laquelle le service a commencé à suivre les informations sur les actions. La période de suivi des information sur les actions Amazon S3 a commencé le 12 avril 2020. La période de suivi des actions Amazon EC2, IAM et Lambda a commencé le 7 avril 2021. La période de suivi pour tous les autres services a débuté le 23 mai 2023. Pour obtenir la liste des services pour lesquels les dernières informations consultées relatives à une action sont disponibles, veuillez consulter [Services et actions concernant les dernières informations consultées relatives à une action IAM](access_policies_last-accessed-action-last-accessed.md). Pour plus d'informations concernant les régions dans lesquelles les dernières informations consultées relatives à une action sont disponibles, veuillez consulter [Où AWS suit les dernières informations consultées](#last-accessed_tracking-period).
+ **Tentatives signalées** — Les dernières données consultées par le service incluent toutes les tentatives d'accès à une AWS API, et pas seulement les tentatives réussies. Cela inclut toutes les tentatives effectuées à l' AWS Management Console aide de l' AWS API via l'un ou SDKs l'autre des outils de ligne de commande. Une entrée inattendue dans les données relatives aux services consultés en dernier ne signifie pas que votre compte a été mis en danger, car la demande a pu être refusée. Référez-vous à vos CloudTrail journaux en tant que source officielle pour obtenir des informations sur tous les appels d'API et savoir s'ils ont été réussis ou non.
+ **PassRole**— L'`iam:PassRole`action n'est pas suivie et n'est pas incluse dans les dernières informations consultées sur l'action IAM.
+ **Dernières informations consultées relatives à une action** : les dernières informations consultées relatives à une action sont disponibles pour les actions de gestion de service auxquelles des identités IAM ont accédé. Veuillez consulter la [liste des services et de leurs actions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html#access_policies_last-accessed-action-last-accessed-supported-actions) pour lesquels les derniers accès relatifs à une action ont fourni des informations.
**Note**  
Les dernières informations consultées relatives à une action ne sont pas disponibles pour aucun événement de plan de données.
+ **Événements de gestion** : IAM fournit des informations d'action pour les événements de gestion des services qui sont enregistrés par CloudTrail. Parfois, les événements de gestion CloudTrail sont également appelés opérations de plan de contrôle ou événements de plan de contrôle. Les événements de gestion fournissent une visibilité sur les opérations administratives effectuées sur les ressources de votre entreprise Compte AWS. Pour en savoir plus sur les événements de gestion dans CloudTrail, consultez la section [Journalisation des événements de gestion](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html) dans le *Guide de AWS CloudTrail l'utilisateur*.
+ **Report owner** (Propriétaire du rapport) : seul le principal qui génère un rapport peut afficher les détails de ce dernier. Cela signifie que lorsque vous consultez les informations contenues dans le AWS Management Console, vous devrez peut-être attendre qu'elles soient générées et chargées. Si vous utilisez l' AWS API AWS CLI or pour obtenir les détails du rapport, vos informations d'identification doivent correspondre à celles du principal qui a généré le rapport. Si vous utilisez des informations d'identification temporaires pour un rôle ou un utilisateur principal AWS STS fédéré, vous devez générer et récupérer le rapport au cours de la même session. Pour plus d'informations sur les principaux de session à rôle endossé, reportez-vous à la section [AWS Éléments de politique JSON : Principal](reference_policies_elements_principal.md).
+ **Ressources IAM** : les dernières informations consultées concernant IAM incluent les ressources IAM (rôles, utilisateurs, groupes IAM et politiques) de votre compte. Les dernières informations consultées pour AWS Organizations incluent les principaux (utilisateurs IAM, rôles IAM ou les Utilisateur racine d'un compte AWS) dans l'entité spécifiée. AWS Organizations Les tentatives non authentifiées sont exclues des dernières informations consultées.
+ **Types de politique IAM** : les dernières informations consultées concernant IAM incluent les services qui sont autorisés par les politiques d'une identité IAM. Il s'agit de politiques attachées à un rôle ou attachées à un utilisateur directement ou via un groupe. L'accès autorisé par d'autres types de politique n'est pas inclus dans votre rapport. Les types de politiques exclus incluent les politiques basées sur les ressources, les listes de contrôle d'accès AWS Organizations SCPs, les limites d'autorisations IAM et les politiques de session. Les autorisations fournies par les rôles liés au service sont définies par le service auquel ils sont liés et ne peuvent pas être modifiées dans IAM. Pour en savoir plus sur les rôles liés au service, consultez [Créer un rôle lié à un service](id_roles_create-service-linked-role.md) Pour en savoir plus sur les différents types de politique sont évalués pour autoriser ou refuser l'accès, consultez [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md).
+ **AWS Organizations types de politiques** — Les informations pour AWS Organizations incluent uniquement les services autorisés par les politiques de contrôle des services héritées d'une AWS Organizations entité (SCPs). SCPs sont des politiques associées à une racine, une unité d'organisation ou un compte. L'accès autorisé par d'autres types de politique n'est pas inclus dans votre rapport. Les types de politique exclus comprennent les politiques basées sur une identité, les politiques basées sur les ressources, les listes de contrôle d'accès, les limites d'autorisations IAM et les politiques de sessions. Pour en savoir plus sur les différents types de politique qui sont évaluées pour autoriser ou refuser l'accès, veuillez consulter [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md).
+ **Spécification d'un ID de politique** — Lorsque vous utilisez l' AWS API AWS CLI or pour générer un rapport sur les dernières informations consultées dans AWS Organizations, vous pouvez éventuellement spécifier un ID de politique. Le rapport inclut des informations pour les services qui sont uniquement autorisées par cette politique. Les informations incluent l'activité la plus récente du compte dans l' AWS Organizations entité spécifiée ou les enfants de l'entité. Pour plus d'informations, consultez [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) or [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).
+ **AWS Organizations compte de gestion** : vous devez vous connecter au compte de gestion de votre organisation pour consulter les dernières informations du service auxquelles vous avez accédé. Vous pouvez choisir d'afficher les informations relatives au compte de gestion à l'aide de la console IAM, de l' AWS CLI API ou de l' AWS API. Le rapport qui en résulte répertorie tous les AWS services, car le compte de gestion n'est pas limité par SCPs. Si vous spécifiez un ID de politique dans l'interface de ligne de commande (CLI) ou l'API, la politique est ignorée. Pour chaque service, le rapport inclut uniquement les informations du compte de gestion. Toutefois, les rapports relatifs aux autres AWS Organizations entités ne renvoient pas d'informations sur l'activité du compte de gestion.
+ **AWS Organizations paramètres** : un administrateur doit l'[activer SCPs à la racine de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root) pour que vous puissiez générer des données pour AWS Organizations.

## Autorisations nécessaires
<a name="access_policies_last-accessed-permissions"></a>

Pour afficher les dernières informations consultées dans le AWS Management Console, vous devez disposer d'une politique qui accorde les autorisations nécessaires.

### Autorisations pour des informations IAM
<a name="access_policies_last-accessed-permissions-iam"></a>

Pour utiliser la console IAM pour afficher les dernières informations consultées pour un utilisateur, un rôle ou une politique IAM, vous devez posséder une politique qui inclut les actions suivantes :
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:Get*`
+ `iam:List*`

Ces autorisations permettent à l'utilisateur de voir les éléments suivants :
+ Les utilisateurs, les groupes ou les rôles attachés à une [politique gérée](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#managed_policy)
+ Les services auxquels un utilisateur ou un rôle peut accéder
+ La dernière fois où ils se sont connectés au service
+ La dernière fois qu'ils ont tenté d'utiliser une action Amazon EC2, IAM, Lambda ou Amazon S3 spécifique

Pour utiliser l' AWS API AWS CLI or afin de consulter les dernières informations consultées pour IAM, vous devez disposer d'autorisations correspondant à l'opération que vous souhaitez utiliser :
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetailsWithEntities`
+ `iam:ListPoliciesGrantingServiceAccess`

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'affichage des dernières informations IAM consultées. En outre, il permet un accès en lecture seule à tous les éléments IAM. Cette politique définit des autorisations pour l'accès à la console et par programmation. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

### Autorisations d' AWS Organizations information
<a name="access_policies_last-accessed-permissions-orgs"></a>

Pour utiliser la console IAM pour afficher un rapport pour les entités racine, unité organisationnelle ou compte dans AWS Organizations, vous devez avoir une politique qui inclut les actions suivantes :
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Pour utiliser l' AWS API AWS CLI or afin de consulter les dernières informations du service auquel vous avez accédé AWS Organizations, vous devez disposer d'une politique incluant les actions suivantes :
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Cet exemple montre comment créer une politique basée sur l'identité qui permet d'afficher les informations du dernier accès au service pour. AWS Organizations De plus, il permet un accès en lecture seule à l'ensemble. AWS Organizations Cette politique définit des autorisations pour l'accès à la console et par programmation. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}
```

------

Vous pouvez également utiliser la clé de OrganizationsPolicyId condition [iam :](reference_policies_iam-condition-keys.md#ck_OrganizationsPolicyId) pour autoriser la génération d'un rapport uniquement pour une AWS Organizations politique spécifique. Pour un exemple de politique, consultez [IAM : Afficher les informations du dernier accès au service pour une politique AWS Organizations](reference_policies_examples_iam_service-accessed-data-orgs.md).

## Résoudre les problèmes liés à l'IAM et aux entités AWS Organizations
<a name="access_policies_last-accessed-troubleshooting"></a>

Dans certains cas, le AWS Management Console dernier tableau d'informations auquel vous avez accédé est peut-être vide. Ou peut-être que votre demande AWS CLI ou celle de AWS l'API renvoie un ensemble d'informations vide ou un champ nul. Dans ces cas, passez en revue les problèmes suivants :
+ Pour les dernières informations consultées relatives à une action, cette dernière, que vous vous attendez à voir, peut ne pas être renvoyée dans la liste. Cela peut se produire soit parce que l'identité IAM n'est pas autorisée à effectuer l'action, soit parce AWS qu'elle n'assure pas encore le suivi de l'action pour les dernières informations consultées.
+ Pour un utilisateur IAM, assurez-vous qu'il possède au moins une politique gérée ou une politique en ligne attachée, directement ou via l'appartenance à des groupes.
+ Pour un groupe IAM, vérifiez qu'il possède au moins une politique gérée ou une politique en ligne attachée.
+ Pour un groupe IAM, le rapport renvoie uniquement les dernières informations consultées relatives au service pour les membres ayant utilisé les politiques du groupe pour accéder à un service. Pour savoir si un membre a utilisé d'autres politiques, vérifiez les dernières informations consultées pour cet utilisateur.
+ Pour un rôle IAM, vérifiez que le rôle possède au moins une politique gérée ou une politique en ligne attachée.
+ Pour une entité IAM (utilisateur ou rôle), recherchez les autres types de politique qui peuvent affecter les autorisations de cette entité. Il s'agit notamment des politiques basées sur les ressources, des listes de contrôle d'accès, des AWS Organizations politiques, des limites d'autorisations IAM ou des politiques de session. Pour plus d’informations, consultez [Types de politique](access_policies.md#access_policy-types) ou [Évaluation des politiques pour les demandes au sein d’un même compte](reference_policies_evaluation-logic_policy-eval-basics.md).
+ Dans le cas d'une politique IAM, assurez-vous que la politique gérée spécifiée est attachée à au moins un utilisateur, un groupe avec des membres ou un rôle.
+ Pour une AWS Organizations entité (root, UO ou compte), assurez-vous que vous êtes connecté à l'aide AWS Organizations des informations d'identification du compte de gestion.
+ Vérifiez qu'[SCPs ils sont activés à la racine de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root).
+ Les dernières informations consultées relatives à une action ne sont disponibles que pour les actions répertoriées dans [Services et actions concernant les dernières informations consultées relatives à une action IAM](access_policies_last-accessed-action-last-accessed.md).

Lorsque vous apportez des modifications, attendez au moins 4 heures avant que l'activité ne s'affiche dans votre console IAM. Si vous utilisez l' AWS API AWS CLI or, vous devez générer un nouveau rapport pour afficher les informations mises à jour.

## Où AWS suit les dernières informations consultées
<a name="last-accessed_tracking-period"></a>

AWS collecte les dernières informations consultées pour les AWS régions standard. Lorsque AWS vous ajoutez des régions supplémentaires, celles-ci sont ajoutées au tableau suivant, y compris la date de AWS début du suivi des informations dans chaque région.
+ **Informations sur le service** : la période de suivi des services correspond au moins à 400 jours, ou moins si votre région a commencé à suivre cette fonctionnalité au cours des 400 derniers jours.
+ **Information sur les actions** : la période de suivi des actions de gestion Amazon S3 a commencé le 12 avril 2020. La période de suivi des actions de gestion Amazon EC2, IAM et Lambda a commencé le 7 avril 2021. La période de suivi des actions de gestion pour tous les autres services a débuté le 23 mai 2023. Si la date de suivi d'une région est postérieure au 23 mai 2023, les dernières informations consultées relatives à une action dans cette région débuteront à la date la plus tardive.


| Nom de la région | Région | Date de début de suivi | 
| --- | --- | --- | 
| USA Est (Ohio) | us-east-2 | 27 octobre 2017 | 
| USA Est (Virginie du Nord) | us-east-1 | 1er octobre 2015 | 
| USA Ouest (Californie du Nord) | us-west-1 | 1er octobre 2015 | 
| USA Ouest (Oregon) | us-west-2 | 1er octobre 2015 | 
| Afrique (Le Cap) | af-south-1 | 22 avril 2020 | 
| Asie-Pacifique (Hong Kong) | ap-east-1 | 24 avril 2019 | 
| Asie-Pacifique (Hyderabad) | ap-south-2 | 22 novembre 2022 | 
| Asie-Pacifique (Jakarta) | ap-southeast-3 | 13 décembre 2021 | 
| Asie-Pacifique (Melbourne) | ap-southeast-4 | 23 janvier 2023 | 
| Asie-Pacifique (Mumbai) | ap-south-1 | 27 juin 2016 | 
| Asie-Pacifique (Osaka) | ap-northeast-3 | 11 février 2018 | 
| Asie-Pacifique (Séoul) | ap-northeast-2 | 6 janvier 2016 | 
| Asie-Pacifique (Singapour) | ap-southeast-1 | 1er octobre 2015 | 
| Asie-Pacifique (Sydney) | ap-southeast-2 | 1er octobre 2015 | 
| Asie-Pacifique (Tokyo) | ap-northeast-1 | 1er octobre 2015 | 
| Canada (Centre) | ca-central-1 | 28 octobre 2017 | 
| Europe (Francfort) | eu-central-1 | 1er octobre 2015 | 
| Europe (Irlande) | eu-west-1 | 1er octobre 2015 | 
| Europe (Londres) | eu-west-2 | 28 octobre 2017 | 
| Europe (Milan) | eu-south-1 | 28 avril 2020 | 
| Europe (Paris) | eu-west-3 | 18 décembre 2017 | 
| Europe (Espagne) | eu-south-2 | 15 novembre 2022 | 
| Europe (Stockholm) | eu-north-1 | 12 décembre 2018 | 
| Europe (Zurich) | eu-central-2 | 8 novembre 2022 | 
| Israël (Tel Aviv) | il-central-1 | 1er août 2023 | 
| Moyen-Orient (Bahreïn) | me-south-1 | 29 juillet 2019 | 
| Moyen-Orient (EAU) | me-central-1 | 30 août 2022 | 
| Amérique du Sud (São Paulo) | sa-east-1 | 11 décembre 2015 | 
| AWS GovCloud (USA Est) | us-gov-east-1 | 1er juillet 2023 | 
| AWS GovCloud (US-Ouest) | us-gov-west-1 | 1er juillet 2023 | 

Si une région n'est pas répertoriée dans le tableau précédent, cette région ne fournit pas encore les dernières informations consultées.

Une AWS région est un ensemble de AWS ressources dans une zone géographique. Les régions sont regroupées en partitions. Les régions standard sont les celles qui appartiennent à la partition `aws`. Pour plus d'informations sur les différentes partitions, consultez [Amazon Resource Names (ARNs) Format](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) dans le Références générales AWS. Pour plus d'informations sur les régions, voir également [À propos AWS des régions](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#region-what-is) dans le Références générales AWS. 

# Affichage des dernières informations consultées pour IAM
<a name="access_policies_last-accessed-view-data"></a>

Vous pouvez consulter les dernières informations consultées pour IAM à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Veuillez consulter la [liste des services et de leurs actions](access_policies_last-accessed-action-last-accessed.md) pour lesquels les dernières informations consultées sont affichées. Pour de plus amples informations sur les dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md). 

Vous pouvez consulter les informations relatives aux types de ressources suivants dans IAM. Dans chaque cas, les informations incluent les services autorisés pour la période donnée :
+ **Utilisateur** : afficher la dernière fois que l'utilisateur a tenté d'accéder à chaque service autorisé.
+ **User group** (Groupe) : consultez les informations sur la dernière fois où un membre du groupe a tenté d'accéder à chaque service autorisé. Ce rapport inclut également le nombre total de membres qui ont tenté un accès.
+ **Role** (Rôle) : affichez la dernière fois où quelqu'un a utilisé le rôle pour tenter d'accéder à chaque service autorisé.
+ **Policy** (Politique) : consultez les informations sur la dernière fois où un utilisateur ou un rôle a tenté d'accéder à chaque service autorisé. Ce rapport inclut également le nombre total d'entités qui ont tenté un accès.

**Note**  
Avant de consulter les informations d'accès d'une ressource IAM, vous devez bien comprendre la période couverte par le rapport, les entités rapportées et les types de politique évalués pour vos informations. Pour en savoir plus, consultez [Choses à savoir sur les dernières informations consultées](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Affichage des informations pour IAM (console)
<a name="access_policies_last-accessed-viewing"></a>

Vous pouvez afficher les dernières informations consultées pour IAM dans l’onglet **Dernier accès** de la console IAM.

**Pour afficher les informations pour IAM (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, sélectionnez **User groups** (Groupes d'utilisateurs), **Users** (Utilisateurs), **Roles** (Rôles) ou **Policies** (Politiques).

1. Choisissez un nom d’utilisateur, de groupe d’utilisateurs, de rôle ou de politique pour ouvrir la page **Récapitulatif** et sélectionnez l’onglet **Dernier accès**. Affichez les informations suivantes, en fonction de la ressource que vous avez choisie :
   + **User group** (Groupe d'utilisateurs) : affiche la liste des services auxquels les membres du groupe d'utilisateurs peuvent accéder. Vous pouvez également afficher la dernière fois qu'un membre a accédé au service, quelles politiques de groupe d'utilisateurs il a utilisées et quel membre du groupe d'utilisateurs a effectué la demande. Choisissez le nom de la politique pour savoir s'il s'agit d'une politique gérée ou d'une politique de groupe d'utilisateurs en ligne. Choisissez le nom du membre du groupe pour afficher tous les membres du groupe d'utilisateurs et quand ils ont consulté pour la dernière fois le service.
   + **User** (Utilisateur) : affiche la liste des services auxquels l'utilisateur peut accéder. Vous pouvez également afficher la date à laquelle ils ont accédé au service pour la dernière fois et les politiques qui sont actuellement associées à l'utilisateur. Choisissez le nom de la politique pour savoir s'il s'agit d'une politique gérée, d'une politique d'utilisateur en ligne ou d'une politique en ligne pour le groupe.
   + **Role** (Rôle) : affichez la liste des services auxquels le rôle peut accéder, à quel moment le rôle a accédé au service pour la dernière fois et quelles politiques ont été utilisées. Choisissez le nom de la politique pour savoir s'il s'agit d'une politique gérée ou d'une politique de rôle en ligne.
   + **Policy** (Politique) : affiche la liste des services avec des actions autorisées dans la politique. Vous pouvez également afficher la dernière fois où la politique a été utilisée pour accéder au service et quelle entité (utilisateur ou rôle) l'a utilisé. La date **Dernier accès** inclut également le moment où l'accès est accordé à cette politique par l'intermédiaire d'une autre politique. Choisissez le nom de l'entité pour connaître les entités ayant cette politique attachée et quand elles ont consulté pour la dernière fois le service.

1. Dans la colonne **Service** du tableau, choisissez le nom de l'[un des services qui inclut les dernières informations consultées relatives à une action](access_policies_last-accessed-action-last-accessed.md) pour afficher une liste des actions de gestion auxquelles les entités IAM ont tenté d'accéder. Vous pouvez afficher l' Région AWS et un horodatage indiquant la dernière fois que quelqu'un a tenté d'exécuter l'action.

1. La colonne **Dernier accès** s'affiche pour les services et les actions de gestion des [services qui incluent les dernières informations consultées relatives à une action](access_policies_last-accessed-action-last-accessed.md). Examinez les résultats possibles suivants qui sont renvoyés dans cette colonne. Ces résultats varient selon qu'un service ou une action est autorisé, qu'il a été consulté et qu'il est suivi ou non par AWS les dernières informations consultées.   
**il y a <nombre de> jours**  
Nombre de jours écoulés depuis que le service ou l'action a été utilisé pendant la période de suivi. La période de suivi des services s'étend sur les 400 derniers jours. La période de suivi des actions Amazon S3 a commencé le 12 avril 2020. La période de suivi des actions Amazon EC2, IAM et Lambda a commencé le 7 avril 2021. La période de suivi pour tous les autres services a débuté le 23 mai 2023. Pour en savoir plus sur les dates de début du suivi pour chacune d'entre elles Région AWS, consultez[Où AWS suit les dernières informations consultées](access_policies_last-accessed.md#last-accessed_tracking-period).  
**Aucun accès pendant la période de suivi**  
Le service ou l'action suivi n'a pas été utilisé par une entité au cours de la période de suivi.

   Vous pouvez disposez d'autorisations pour une action qui n'apparaît pas dans la liste. C'est le cas lorsque les informations de suivi de l'action ne sont pas actuellement prises en compte par AWS. Vous ne devez pas prendre de décisions sur les autorisations uniquement en raison de l'absence d'informations de suivi. Nous vous recommandons plutôt d'utiliser ces informations pour éclairer et fonder votre stratégie globale d'octroi du moindre privilège. Vérifiez vos politiques pour confirmer que le niveau d'accès est approprié.

## Affichage des informations pour IAM (AWS CLI)
<a name="access_policies_last-accessed-viewing-cli"></a>

Vous pouvez utiliser le AWS CLI pour récupérer des informations sur la dernière fois qu'une ressource IAM a été utilisée pour tenter d'accéder à des AWS services et à des actions Amazon S3, Amazon EC2, IAM et Lambda. Une ressource IAM peut être un utilisateur, un groupe d'utilisateurs, un rôle ou une politique.

**Pour afficher les informations pour IAM (AWS CLI)**

1. Générez un rapport. La demande doit inclure l'ARN de la ressource IAM (utilisateur, groupe d'utilisateurs, rôle ou politique) pour lequel vous voulez un rapport. Vous pouvez spécifier le niveau de granularité que vous souhaitez générer dans le rapport pour afficher les détails sur l'accès pour les services ou pour les services et les actions. La demande renvoie un `job-id` que vous pouvez ensuite utiliser dans les opérations `get-service-last-accessed-details-with-entities` et `get-service-last-accessed-details` pour surveiller l'état `job-status` jusqu'à ce que la tâche soit terminée.
   + [aws iam -détails generate-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

1. Récupérez les informations sur le rapport à l'aide du paramètre `job-id` de l'étape précédente.
   + [aws iam -détails get-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

   Cette opération renvoie les informations suivantes, en fonction du type de ressource et du niveau de granularité que vous avez demandé dans l'opération `generate-service-last-accessed-details` :
   + **User** (Utilisateur) : renvoie une liste de services auxquels l'utilisateur spécifié peut accéder. Pour chaque service, l'opération renvoie la date et l'heure de la dernière tentative de l'utilisateur, ainsi que l'ARN de l'utilisateur.
   + **Groupe d'utilisateurs** : renvoie la liste des services auxquels les membres du groupe d'utilisateurs spécifié peuvent accéder à l'aide des politiques attachées au groupe d'utilisateurs. Pour chaque service, l'opération renvoie la date et l'heure de la dernière tentative effectuée par un membre du groupe d'utilisateurs. Il renvoie également l'ARN de cet utilisateur et le nombre total de membres du groupe d'utilisateurs qui ont tenté d'accéder au service. Utilisez cette [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)opération pour récupérer la liste de tous les membres.
   + **Role** (Rôle) : renvoie la liste des services auxquels le rôle spécifié peut accéder. Pour chaque service, l'opération renvoie la date et l'heure de la dernière tentative du rôle, ainsi que l'ARN du rôle.
   + **Policy** (Politique) : renvoie la liste des services pour lesquels la politique spécifiée autorise l'accès. Pour chaque service, l'opération renvoie la date et l'heure auxquelles une entité (utilisateur ou rôle) a tenté pour la dernière fois d'accéder au service à l'aide de la politique. Elle renvoie également l'ARN de cette entité et le nombre total d'entités ayant tenté l'accès.

1. En savoir plus sur les entités qui ont utilisé les autorisations de groupe d'utilisateurs ou de politique lors de la tentative d'accès à un service spécifique. Cette opération renvoie la liste des entités avec l'ARN, l'ID, le nom, le chemin, le type (utilisateur ou rôle) de chaque entité, et la date à laquelle elles ont tenté pour la dernière fois d'accéder au service. Vous pouvez également utiliser cette opération pour les utilisateurs et les rôles, mais elle ne renvoie que les informations relatives à cette entité.
   + [c'est moi - get-service-last-accessed details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

1. En savoir plus sur les politiques basées sur une identité qu'une identité (utilisateur, groupe d'utilisateurs ou rôle) a utilisées lors de la tentative d'accès à un service spécifique. Lorsque vous spécifiez une identité et un service, cette opération renvoie une liste de stratégies d'autorisation que l'identité peut utiliser pour accéder au service spécifié. Cette opération donne l'état actuel des stratégies et ne dépend pas du rapport généré. Elle ne retourne pas non plus d'autres types de politiques, tels que les politiques basées sur les ressources, les listes de contrôle d'accès, les politiques AWS Organizations , les limites d'autorisations IAM ou les politiques de sessions. Pour plus d’informations, consultez [Types de politique](access_policies.md#access_policy-types) ou [Évaluation des politiques pour les demandes au sein d’un même compte](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [aws iam -access list-policies-granting-service](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

## Affichage des informations pour IAM (AWS API)
<a name="access_policies_last-accessed-viewing-api"></a>

Vous pouvez utiliser l' AWS API pour récupérer des informations sur la dernière fois qu'une ressource IAM a été utilisée pour tenter d'accéder à des AWS services et à des actions Amazon S3, Amazon EC2, IAM et Lambda. Une ressource IAM peut être un utilisateur, un groupe d'utilisateurs, un rôle ou une politique. Vous pouvez spécifier le niveau de granularité à générer dans le rapport pour afficher les détails des services ou des services et des actions. 

**Pour consulter les informations relatives à l'IAM (AWS API)**

1. Générez un rapport. La demande doit inclure l'ARN de la ressource IAM (utilisateur, groupe d'utilisateurs, rôle ou politique) pour lequel vous voulez un rapport. Elle renvoie un `JobId` que vous pouvez ensuite utiliser dans les opérations `GetServiceLastAccessedDetailsWithEntities` et `GetServiceLastAccessedDetails` pour surveiller l'état `JobStatus` jusqu'à ce que la tâche soit terminée.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Récupérez les informations sur le rapport à l'aide du paramètre `JobId` de l'étape précédente.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Cette opération renvoie les informations suivantes, en fonction du type de ressource et du niveau de granularité que vous avez demandé dans l'opération `GenerateServiceLastAccessedDetails` :
   + **User** (Utilisateur) : renvoie une liste de services auxquels l'utilisateur spécifié peut accéder. Pour chaque service, l'opération renvoie la date et l'heure de la dernière tentative de l'utilisateur, ainsi que l'ARN de l'utilisateur.
   + **Groupe d'utilisateurs** : renvoie la liste des services auxquels les membres du groupe d'utilisateurs spécifié peuvent accéder à l'aide des politiques attachées au groupe d'utilisateurs. Pour chaque service, l'opération renvoie la date et l'heure de la dernière tentative effectuée par un membre du groupe d'utilisateurs. Il renvoie également l'ARN de cet utilisateur et le nombre total de membres du groupe d'utilisateurs qui ont tenté d'accéder au service. Utilisez cette [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)opération pour récupérer la liste de tous les membres.
   + **Role** (Rôle) : renvoie la liste des services auxquels le rôle spécifié peut accéder. Pour chaque service, l'opération renvoie la date et l'heure de la dernière tentative du rôle, ainsi que l'ARN du rôle.
   + **Policy** (Politique) : renvoie la liste des services pour lesquels la politique spécifiée autorise l'accès. Pour chaque service, l'opération renvoie la date et l'heure auxquelles une entité (utilisateur ou rôle) a tenté pour la dernière fois d'accéder au service à l'aide de la politique. Elle renvoie également l'ARN de cette entité et le nombre total d'entités ayant tenté l'accès.

1. En savoir plus sur les entités qui ont utilisé les autorisations de groupe d'utilisateurs ou de politique lors de la tentative d'accès à un service spécifique. Cette opération renvoie la liste des entités avec l'ARN, l'ID, le nom, le chemin, le type (utilisateur ou rôle) de chaque entité, et la date à laquelle elles ont tenté pour la dernière fois d'accéder au service. Vous pouvez également utiliser cette opération pour les utilisateurs et les rôles, mais elle ne renvoie que les informations relatives à cette entité.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. En savoir plus sur les politiques basées sur une identité qu'une identité (utilisateur, groupe d'utilisateurs ou rôle) a utilisées lors de la tentative d'accès à un service spécifique. Lorsque vous spécifiez une identité et un service, cette opération renvoie une liste de stratégies d'autorisation que l'identité peut utiliser pour accéder au service spécifié. Cette opération donne l'état actuel des stratégies et ne dépend pas du rapport généré. Elle ne retourne pas non plus d'autres types de politiques, tels que les politiques basées sur les ressources, les listes de contrôle d'accès, les politiques AWS Organizations , les limites d'autorisations IAM ou les politiques de sessions. Pour plus d’informations, consultez [Types de politique](access_policies.md#access_policy-types) ou [Évaluation des politiques pour les demandes au sein d’un même compte](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

# Afficher les dernières informations consultées pour AWS Organizations
<a name="access_policies_last-accessed-view-data-orgs"></a>

Vous pouvez consulter les informations du dernier accès au service à AWS Organizations l'aide de la console IAM ou de AWS l'API. AWS CLI Pour connaître les informations importantes sur les données, les autorisations requises, la résolution de problèmes et les régions prises en charge, veuillez consulter [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).

Lorsque vous vous connectez à la console IAM à l'aide AWS Organizations des informations d'identification du compte de gestion, vous pouvez consulter les informations relatives à n'importe quelle entité de votre organisation. AWS Organizations les entités incluent la racine de l'organisation, les unités organisationnelles (OUs) et les comptes. Vous pouvez également utiliser la console IAM pour consulter les informations relatives à toutes les politiques de contrôle des services (SCPs) de votre organisation. IAM affiche une liste des services autorisés par tous ceux SCPs qui s'appliquent à l'entité. Pour chaque service, vous pouvez consulter les informations les plus récentes sur l'activité du compte de l' AWS Organizations entité choisie ou des enfants de l'entité.

Lorsque vous utilisez l' AWS API AWS CLI or avec les informations d'identification du compte de gestion, vous pouvez générer un rapport pour toutes les entités ou politiques de votre organisation. Un rapport programmatique pour une entité inclut une liste des services autorisés par tous ceux SCPs qui s'appliquent à l'entité. Pour chaque service, le rapport inclut l'activité la plus récente pour les comptes de l'entité AWS Organizations spécifiée ou de la sous-arborescence de l'entité.

Lorsque vous générez un rapport programmatique pour une politique, vous devez spécifier une AWS Organizations entité. Ce rapport inclut une liste des services qui sont autorisés par la stratégie de contrôle de service spécifiée. Pour chaque service, il inclut la dernière activité du compte dans l'entité ou dans les enfants de l'entité qui sont autorisés par cette politique. Pour plus d'informations, consultez [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) or [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).

Avant d'afficher le rapport, assurez-vous de comprendre les exigences et les informations du compte de gestion, la période couverte par le rapport, les entités concernées par le rapport, ainsi que les types de politiques évaluées. Pour en savoir plus, consultez [Choses à savoir sur les dernières informations consultées](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Comprendre le chemin de AWS Organizations l'entité
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

Lorsque vous utilisez l' AWS API AWS CLI or pour générer un rapport d' AWS Organizations accès, vous devez spécifier un chemin d'entité. Un chemin est une représentation textuelle de la structure d'une entité AWS Organizations .

Vous pouvez créer un chemin d'entité à l'aide de la structure connue de votre organisation. Supposons, par exemple, que vous disposiez de la structure organisationnelle suivante dans AWS Organizations.

![\[Structure du chemin de l’organisation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/ou-path-diagram.png)


Le chemin de l'unité d'organisation **Dev Managers** est créé en utilisant le nom IDs de l'organisation, celui de la racine et tout OUs le chemin menant à l'unité d'organisation incluse. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

Le chemin du compte dans l'unité d'organisation **de production** est créé à l'aide IDs de l'organisation, de la racine, de l'unité d'organisation et du numéro de compte. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**Note**  
 IDs Les organisations sont uniques au niveau mondial, mais l'unité d'organisation IDs et la racine ne IDs sont uniques qu'au sein d'une organisation. Cela signifie qu'aucune organisation ne partage le même ID d'organisation. Toutefois, une autre organisation peut avoir le même ID d'unité d'organisation ou ID racine que vous. Nous vous recommandons de toujours inclure l'ID d'organisation lorsque vous spécifiez une unité d'organisation ou une racine.

## Affichage des informations pour AWS Organizations (console)
<a name="access_policies_last-accessed-viewing-orgs"></a>

Vous pouvez utiliser la console IAM pour afficher les informations relatives aux derniers services consultés pour votre compte racine, une unité organisationnelle ou une politique.

**Pour afficher les informations relatives à la racine (console)**

1. Connectez-vous à l' AWS Management Console aide AWS Organizations des informations d'identification du compte de gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation situé sous la section **Access reports (Rapports d'accès)**, choisissez **Organization activity (Activité de l'organisation)**.

1. Dans la page **Organization activity (Activité de l'organisation)**, choisissez **Root (Racine)**.

1. Sur l'onglet **Details and activity (Détails et activité)**, affichez la section **Service access report (Rapport d'accès aux services)**. Les informations comprennent une liste des services autorisés par les politiques qui sont attachées directement à la racine. Les informations vous indiquent également le compte à partir duquel le service a été consulté pour la dernière fois et le moment auquel cette consultation a eu lieu. Pour de plus amples informations sur le principal ayant consulté le service, connectez-vous en tant qu'administrateur à ce compte et [affichez les dernières informations consultées relatives au service IAM](access_policies_last-accessed-view-data.md).

1. Choisissez l' SCPsonglet **Attaché** pour afficher la liste des politiques de contrôle des services (SCPs) associées à la racine. IAM vous indique le nombre d'entités cibles auxquelles chaque politique est attachée. Vous pouvez utiliser ces informations pour déterminer la stratégie de contrôle de service à passer en revue.

1. Choisissez le nom d'une politique de contrôle de service pour afficher tous les services qu'elle autorise. Pour chaque service, affichez le compte à partir duquel le service a été consulté pour la dernière fois et le moment auquel cette consultation a eu lieu.

1. Choisissez **Modifier dans AWS Organizations** pour afficher des informations supplémentaires et modifier le SCP dans la AWS Organizations console. Pour plus d'information, consultez la section relative aux [mises à jour Over-the-Air](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) dans le *AWS Organizations User Guide*.

**Pour afficher les informations d'une unité d'organisation ou d'un compte (console)**

1. Connectez-vous à l' AWS Management Console aide AWS Organizations des informations d'identification du compte de gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation situé sous la section **Access reports (Rapports d'accès)**, choisissez **Organization activity (Activité de l'organisation)**.

1. Sur la page **Organization activity (Activité de l'organisation)**, développez la structure de votre organisation. Ensuite, choisissez le nom de l'unité organisationnelle ou du compte que vous souhaitez afficher (à l'exception du compte de gestion).

1. Sur l'onglet **Details and activity (Détails et activité)**, affichez la section **Service access report (Rapport d'accès aux services)**. Les informations incluent une liste des services autorisés par la personne SCPs attachée à l'unité d'organisation ou au compte *et* par tous ses parents. Les informations vous indiquent également le compte à partir duquel le service a été consulté pour la dernière fois et le moment auquel cette consultation a eu lieu. Pour de plus amples informations sur le principal ayant consulté le service, connectez-vous en tant qu'administrateur à ce compte et [affichez les dernières informations consultées relatives au service IAM](access_policies_last-accessed-view-data.md).

1. Choisissez l' SCPsonglet **Attaché** pour afficher la liste des politiques de contrôle des services (SCPs) directement associées à l'unité d'organisation ou au compte. IAM vous indique le nombre d'entités cibles auxquelles chaque politique est attachée. Vous pouvez utiliser ces informations pour déterminer la stratégie de contrôle de service à passer en revue.

1. Choisissez le nom d'une politique de contrôle de service pour afficher tous les services qu'elle autorise. Pour chaque service, affichez le compte à partir duquel le service a été consulté pour la dernière fois et le moment auquel cette consultation a eu lieu.

1. Choisissez **Modifier dans AWS Organizations** pour afficher des informations supplémentaires et modifier le SCP dans la AWS Organizations console. Pour plus d'information, consultez la section relative aux [mises à jour Over-the-Air](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) dans le *AWS Organizations User Guide*.

**Pour afficher les informations du compte de gestion (console)**

1. Connectez-vous à l' AWS Management Console aide AWS Organizations des informations d'identification du compte de gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation situé sous la section **Access reports (Rapports d'accès)**, choisissez **Organization activity (Activité de l'organisation)**.

1. Sur la page **Organization activity (Activité de l'organisation)**, développez la structure de votre organisation et choisissez le nom de votre compte de gestion.

1. Sur l'onglet **Details and activity (Détails et activité)**, affichez la section **Service access report (Rapport d'accès aux services)**. Les informations incluent une liste de tous les services AWS . Le compte de gestion n'est pas limité par SCPs. Les informations vous indiquent si le compte a consulté le service dernièrement et le moment auquel cette consultation s'est produite. Pour de plus amples informations sur le principal ayant consulté le service, connectez-vous en tant qu'administrateur à ce compte et [affichez les dernières informations consultées relatives au service IAM](access_policies_last-accessed-view-data.md).

1. Cliquez sur l' SCPsonglet Pièce **jointe** pour confirmer qu'il n'y a aucune pièce jointe, SCPs car le compte est le compte de gestion.

**Pour afficher les informations d'une politique (console)**

1. Connectez-vous à l' AWS Management Console aide AWS Organizations des informations d'identification du compte de gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation situé sous la section **Rapports d'accès**, sélectionnez **Politiques de contrôle des services (SCPs)**.

1. Sur la page **Politiques de contrôle des services (SCPs)**, consultez la liste des politiques de votre organisation. Vous pouvez consulter le nombre d'entités cibles auxquelles chaque politique est attachée.

1. Choisissez le nom d'une politique de contrôle de service pour afficher tous les services qu'elle autorise. Pour chaque service, affichez le compte à partir duquel le service a été consulté pour la dernière fois et le moment auquel cette consultation a eu lieu.

1. Choisissez **Modifier dans AWS Organizations** pour afficher des informations supplémentaires et modifier le SCP dans la AWS Organizations console. Pour plus d’information, consultez [Mise à jour d’une stratégie de contrôle de service (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) dans le *Guide de l’utilisateur AWS Organizations *.

## Affichage des informations pour AWS Organizations (AWS CLI)
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

Vous pouvez utiliser le AWS CLI pour récupérer les dernières informations auxquelles vous avez accédé au service pour votre AWS Organizations root, votre unité d'organisation, votre compte ou votre politique.

**Pour afficher les informations AWS Organizations du dernier accès au service (AWS CLI)**

1. Utilisez les informations d'identification de votre compte de AWS Organizations gestion avec l'IAM et AWS Organizations les autorisations requises, et vérifiez qu' SCPs elles sont activées pour votre root. Pour de plus amples informations, veuillez consulter [Choses à savoir sur les dernières informations consultées](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Générez un rapport. La demande doit inclure le chemin de l' AWS Organizations entité (racine, unité d'organisation ou compte) pour laquelle vous souhaitez obtenir un rapport. Si vous le souhaitez, vous pouvez inclure un paramètre `organization-policy-id` pour afficher un rapport pour une politique spécifique. Cette commande renvoie un élément `job-id` que vous pouvez ensuite utiliser dans la commande `get-organizations-access-report` pour surveiller l'élément `job-status` jusqu'à ce que la tâche soit terminée.
   + [était iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. Récupérez les informations sur le rapport à l'aide du paramètre `job-id` de l'étape précédente.
   + [était iam get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   Cette commande renvoie une liste des services auxquels les membres de l'entité peuvent accéder. Pour chaque service, la commande renvoie la date et l'heure de la dernière tentative d'un membre du compte et le chemin d'entité du compte. Elle renvoie également le nombre total de services qui sont disponibles en accès et le nombre de services qui n'ont pas été consultés. Si vous avez spécifié le paramètre facultatif `organizations-policy-id`, les services qui sont disponibles en accès sont ceux qui sont autorisés par la politique spécifiée.

## Affichage des informations pour AWS Organizations (AWS API)
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

Vous pouvez utiliser l' AWS API pour récupérer les dernières informations de service auxquelles vous avez accédé pour votre AWS Organizations root, votre unité d'organisation, votre compte ou votre politique.

**Pour afficher les informations AWS Organizations du dernier accès au service (AWS API)**

1. Utilisez les informations d'identification de votre compte de AWS Organizations gestion avec l'IAM et AWS Organizations les autorisations requises, et vérifiez qu' SCPs elles sont activées pour votre root. Pour de plus amples informations, veuillez consulter [Choses à savoir sur les dernières informations consultées](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Générez un rapport. La demande doit inclure le chemin de l' AWS Organizations entité (racine, unité d'organisation ou compte) pour laquelle vous souhaitez obtenir un rapport. Si vous le souhaitez, vous pouvez inclure un paramètre `OrganizationsPolicyId` pour afficher un rapport pour une politique spécifique. Cette opération renvoie un élément `JobId` que vous pouvez ensuite utiliser dans l'opération `GetOrganizationsAccessReport` pour surveiller l'état `JobStatus` jusqu'à ce que la tâche soit terminée.
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. Récupérez les informations sur le rapport à l'aide du paramètre `JobId` de l'étape précédente.
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   Cette opération renvoie une liste des services auxquels les membres de l'entité peuvent accéder. Pour chaque service, l'opération renvoie la date et l'heure de la dernière tentative d'un membre du compte et le chemin d'entité du compte. Elle renvoie également le nombre total de services qui sont disponibles en accès et le nombre de services qui n'ont pas été consultés. Si vous avez spécifié le paramètre facultatif `OrganizationsPolicyId`, les services qui sont disponibles en accès sont ceux qui sont autorisés par la politique spécifiée.

# Exemples de scénarios d'utilisation des dernières informations consultées
<a name="access_policies_last-accessed-example-scenarios"></a>

Vous pouvez utiliser les dernières informations consultées pour prendre des décisions concernant les autorisations que vous accordez à vos entités ou AWS Organizations entités IAM. Pour de plus amples informations, veuillez consulter [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md). 

**Note**  
Avant de consulter les informations d'accès relatives à une entité ou à une politique dans IAM AWS Organizations, assurez-vous de bien comprendre la période de reporting, les entités signalées et les types de politiques évalués pour vos données. Pour en savoir plus, consultez [Choses à savoir sur les dernières informations consultées](access_policies_last-accessed.md#access_policies_last-accessed-know).

En tant qu'administrateur, il vous appartient d'équilibrer l'accessibilité et le principe du moindre privilège requis pour votre entreprise. 

## Utilisation des informations pour réduire les autorisations d'un groupe IAM
<a name="last-accessed-sample-reduce-permissions-group"></a>

Vous pouvez utiliser les dernières informations consultés pour réduire les autorisations de groupe IAM et inclure uniquement les services dont vos utilisateurs ont besoin. Cette méthode est une étape importante dans l'[attribution du moindre privilège](best-practices.md#grant-least-privilege) au niveau service.

Par exemple, Paulo Santos est l'administrateur chargé de définir les autorisations des AWS utilisateurs pour Example Corp. Cette société vient de commencer à utiliser AWS, et l'équipe de développement logiciel n'a pas encore défini les AWS services qu'elle utilisera. Paulo souhaite accorder à l'équipe l'autorisation d'accéder uniquement aux services dont elle a besoin, mais comme cela n'est pas encore défini, il leur attribue temporairement les autorisations utilisateur. Ensuite, il utilise les dernières informations consultées pour réduire les autorisations du groupe.

Paulo crée une politique gérée nommée `ExampleDevelopment` à l'aide du texte JSON suivant. Puis, il l'attache à un groupe appelé `Development` et ajoute tous les développeurs au groupe.

**Note**  
Les utilisateurs avancés de Paulo peuvent avoir besoin d'autorisations `iam:CreateServiceLinkedRole` pour utiliser certains services et fonctionnalités. Il comprend que l'ajout de cette autorisation permet aux utilisateurs de créer n'importe quel rôle lié au service. Il accepte ce risque pour ses utilisateurs avancés.

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToAllServicesExceptPeopleManagement",
            "Effect": "Allow",
            "NotAction": [
                "iam:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Paulo décide d'attendre 90 jours avant d'[afficher les dernières informations consultées](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing) pour le groupe `Development` à l'aide de la AWS Management Console. Il affiche la liste des services que les membres du groupe ont consultés. Il apprend que les utilisateurs ont accédé à cinq services la semaine dernière : AWS CloudTrail Amazon CloudWatch Logs, Amazon EC2 et Amazon S3. AWS KMS Ils ont eu accès à quelques autres services lors de leur première évaluation AWS, mais pas depuis.

Paulo décide de réduire les autorisations de politique pour inclure uniquement ces cinq services ainsi que l'IAM et les AWS Organizations actions requises. Il modifie la politique `ExampleDevelopment` à l'aide du texte JSON suivant.

**Note**  
Les utilisateurs avancés de Paulo peuvent avoir besoin d'autorisations `iam:CreateServiceLinkedRole` pour utiliser certains services et fonctionnalités. Il comprend que l'ajout de cette autorisation permet aux utilisateurs de créer n'importe quel rôle lié au service. Il accepte ce risque pour ses utilisateurs avancés.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToListedServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "kms:*",
                "cloudtrail:*",
                "logs:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Pour réduire davantage les autorisations, Paulo peut consulter les événements du compte dans AWS CloudTrail **Event history (Historique des événements)**. Là, il peut afficher les informations détaillées des événements qu'il peut utiliser pour réduire les autorisations de la politique et inclure uniquement les actions et les ressources dont les développeurs ont besoin. Pour plus d'informations, consultez la section [Affichage CloudTrail des événements dans la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) dans le *guide de AWS CloudTrail l'utilisateur*.

## Utilisation des informations pour réduire les autorisations d'un utilisateur IAM
<a name="access_policies_last-accessed-reduce-permissions-users"></a>

Vous pouvez utiliser les dernières informations consultées pour réduire les autorisations d'un utilisateur IAM individuel.

Par exemple, Martha Rivera est une administratrice informatique chargée de veiller à ce que les membres de son entreprise ne disposent pas d' AWS autorisations excessives. Dans le cadre d'un contrôle de sécurité régulier, elle passe en revue les autorisations de tous les utilisateurs IAM. L'un des ces utilisateurs est un développeur d'applications nommé Nikhil Jayashankar, qui occupait précédemment le rôle d'ingénieur sécurité. Dans la mesure où ses tâches ont évolué, Nikhil est à la fois membre du groupe `app-dev` et du groupe `security-team`. Le groupe `app-dev` pour son nouveau poste octroie des autorisations à plusieurs services, notamment Amazon EC2, Amazon EBS, Auto Scaling, Amazon S3, Route 53 et Elastic Transcoder. Le `security-team` groupe chargé de son ancien travail accorde des autorisations à IAM et CloudTrail.

En tant qu’administrateur, Martha se connecte à la console IAM, sélectionnez **Utilisateurs**, le nom `nikhilj`, puis l’onglet **Dernier accès**.

Martha passe en revue la colonne **Last** Acceded et remarque que Nikhil n'a pas récemment accédé à IAM CloudTrail, Route 53, Amazon Elastic Transcoder et à un certain nombre d'autres services. AWS Nikhil a accédé à Amazon S3. Martha choisit **S3** dans la liste des services et apprend que Nikhil a effectué quelques actions Amazon S3 `List` au cours des deux dernières semaines. Au sein de son entreprise, Martha confirme que Nikhil n'a CloudTrail plus besoin d'accéder à IAM pour des raisons professionnelles, car il n'est plus membre de l'équipe de sécurité interne. 

Martha est maintenant prête à agir sur le service et des dernières information consultées relatives à l'action. Toutefois, à la différence du groupe de l'exemple précédent, un utilisateur IAM comme `nikhilj` peut être soumis à plusieurs politiques et appartenir à plusieurs groupes. Martha doit procéder avec précaution pour éviter de modifier par inadvertance l'accès de `nikhilj` ou d'autres membres du groupe. En plus d'apprendre quel accès Nikhil doit avoir, elle doit déterminer *comment* ces autorisations lui sont accordées. 

Martha choisit l'onglet **Autorisations**, où elle consulte les politiques attachées directement à `nikhilj` et celles attachées à partir d'un groupe. Elle développe chaque politique et affiche le récapitulatif de la politique pour savoir quelle politique autorise l'accès aux services que Nikhil n'utilise pas :
+ IAM — La politique `IAMFullAccess` AWS gérée est attachée `nikhilj` et attachée directement au `security-team` groupe.
+ CloudTrail — La politique `AWS CloudTrailReadOnlyAccess` AWS gérée est attachée au `security-team` groupe.
+ Route 53 : la politique `App-Dev-Route53` gérée par le client est attachée au groupe `app-dev`.
+ Elastic Transcoder : la politique `App-Dev-ElasticTranscoder` gérée par le client est attachée au groupe `app-dev`.

Martha décide de supprimer la politique `IAMFullAccess` AWS gérée qui est directement attachée à`nikhilj`. Elle supprime également l'appartenance de Nikhil au groupe `security-team`. Ces deux actions suppriment l'accès inutile à IAM et CloudTrail. 

Les autorisations de Nikhil d'accéder à Route 53 et Elastic Transcoder sont octroyées par le groupe `app-dev`. Bien que Nikhil n'utilise pas ces services, il se peut que d'autres membres le fassent. Martha examine les dernières informations consultées pour le groupe `app-dev` et apprend que plusieurs membres ont récemment accédé à Route 53 et Amazon S3. Mais aucun membre du groupe n'a accédé à Elastic Transcoder au cours de la dernière année. Supprime du groupe la politique `App-Dev-ElasticTranscoder` gérée par le client.

Martha passe ensuite en revue les dernières informations consultées pour la politique `App-Dev-ElasticTranscoder` gérée par le client. Elle apprend que la politique n'est pas attachée à d'autres identités IAM. Elle vérifie au sein de son entreprise que la politique ne sera pas nécessaire à l'avenir, puis elle la supprime.

## Utilisation des informations avant de supprimer des ressources IAM
<a name="last-accessed-sample-delete-resources"></a>

Vous pouvez utiliser les dernières informations consultées avant de supprimer une ressource IAM, afin de vous assurer qu'un certain délai s'est écoulé depuis qu'une personne a utilisé la ressource pour la dernière fois. Cela s'applique aux utilisateurs, groupes, rôles et politiques. Pour de plus amples informations sur ces actions, veuillez consulter les rubriques suivantes :
+ **Utilisateurs IAM** : [Suppression ou désactivation d’un utilisateur IAM](id_users_remove.md)
+ **Groupes** : [Suppression d’un groupe IAM](id_groups_manage_delete.md)
+ **Rôles** : [Suppression de rôles ou de profils d’instance](id_roles_manage_delete.md)
+ **Politiques** : [Suppression des politiques IAM (détache également la politique des identités)](access_policies_manage-delete.md)

## Utilisation des informations avant de modifier des politiques IAM
<a name="last-accessed-sample-edit-policies"></a>

Vous pouvez passer en revue les dernières informations consultées d'une identité IAM (utilisateur, groupe ou rôle), ou d'une politique IAM avant de modifier une politique qui affecte la ressource. Ceci est important, car vous ne souhaitez pas supprimer l'accès pour une personne qui l'utilise.

Par exemple, Arnav Desai est développeur et AWS administrateur pour Example Corp. Lorsque son équipe a commencé à utiliser AWS, elle a accordé à tous les développeurs un accès utilisateur avancé leur permettant un accès complet à tous les services sauf IAM et. AWS OrganizationsÀ titre de première étape vers l'[attribution du moindre privilège](best-practices.md#grant-least-privilege), Arnav souhaite utiliser l’interface AWS CLI pour passer en revue les politiques gérées de son compte. 

Pour ce faire, Arnav recense d'abord dans son compte les politiques d'autorisation gérées par le client et qui sont attachées à une identité, à l'aide de la commande suivante :

```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```

À partir de la réponse, il enregistre l'ARN de chaque politique. Arnav génère ensuite un rapport sur les dernières informations consultées pour chaque politique à l'aide de la commande suivante.

```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Depuis cette réponse, il capture l'ID du rapport généré depuis le champ `JobId`. Arnav interroge ensuite la commande suivante jusqu'à ce que le champ `JobStatus` renvoie la valeur `COMPLETED` ou `FAILED`. Si la tâche a échoué, il capture l'erreur.

```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```

Lorsque la tâche a le statut `COMPLETED`, Arnav analyse le contenu du tableau `ServicesLastAccessed` au format JSON.

```
 "ServicesLastAccessed": [
        {
            "TotalAuthenticatedEntities": 1,
            "LastAuthenticated": 2018-11-01T21:24:33.222Z,
            "ServiceNamespace": "dynamodb",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
            "ServiceName": "Amazon DynamoDB"
        },

        {
            "TotalAuthenticatedEntities": 0,
            "ServiceNamespace": "ec2",
            "ServiceName": "Amazon EC2"
        },

        {
            "TotalAuthenticatedEntities": 3,
            "LastAuthenticated": 2018-08-25T15:29:51.156Z,
            "ServiceNamespace": "s3",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
            "ServiceName": "Amazon S3"
        }
    ]
```

À partir de ces informations, Arnav apprend que la politique `ExamplePolicy1` autorise l'accès à trois services : Amazon DynamoDB, Amazon S3 et Amazon EC2. L'utilisateur IAM nommé `IAMExampleUser` a récemment tenté d'accéder à DynamoDB le 1er novembre, et une personne a utilisé le rôle `IAMExampleRole` pour tenter d'accéder à Amazon S3 le 25 août. Il existe également deux autres entités qui ont tenté d'accéder à Amazon S3 au cours de cette année. Cependant, personne n'a tenté d'accéder à Amazon EC2 au cours de l'année écoulée.

Cela signifie qu'Arnav peut supprimer en toute sécurité les actions Amazon EC2 de la politique. Arnav souhaite vérifier le document JSON de la politique. Tout d'abord, il doit déterminer le numéro de version de la politique à l'aide de la commande suivante.

```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Dans la réponse, Arnav recueille le numéro de version actuelle par défaut depuis le tableau `Versions`. Il utilise ensuite le numéro de version (`v2`) pour demander le document de politique JSON à l'aide de la commande suivante.

```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```

Arnav stocke le document de politique JSON renvoyé dans le champ `Document` du tableau `PolicyVersion`. Dans le document de politique, Arnav recherche les actions dans l'espace de noms `ec2`. S'il ne reste pas d'actions d'autres espaces de noms dans la politique, il détache ensuite la politique des identités affectées (utilisateurs, groupes et rôles). Il supprime ensuite la politique. Dans ce cas, la politique inclut les services Amazon DynamoDB et Amazon S3. Par conséquent, Arnav supprime les actions Amazon EC2 du document et enregistre ses modifications. Il utilise ensuite la commande suivante pour mettre à jour la politique à l'aide de la nouvelle version du document et pour définir cette version en tant que version de politique par défaut.

```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```

La politique `ExamplePolicy1` est maintenant mise à jour pour supprimer l'accès au service Amazon EC2 superflu.

## Autres scénarios IAM
<a name="last-accessed-scenarios-other"></a>

Les informations sur la date à laquelle une ressource IAM (utilisateur, groupe, rôle ou politique) a tenté pour la dernière fois d'accéder à un service peut vous aider lorsque vous exécutez l'une des tâches suivantes :
+ **Policies** (Politiques) : [modification d'une politique en ligne ou gérée par un client pour supprimer les autorisations](access_policies_manage-edit.md)
+ **Policies** (Politiques) : [conversion d'une politique en ligne en une politique gérée, puis suppression](access_policies-convert-inline-to-managed.md)
+ **Policies** (Politiques) : [ajout d'un refus explicite à une politique existante](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **Policies** (Politiques) : d[étachement d'une politique gérée d'une identité (utilisateur, groupe ou rôle)](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **Entities** (Entités) : d[éfinissez une limite d'autorisations pour contrôler les autorisations maximales qu'une entité (utilisateur ou rôle) peut avoir](access_policies_manage-attach-detach.md)
+ **Groups** (Groupes) : [suppression d'utilisateurs d'un groupe](id_groups_manage_add-remove-users.md)

## Utilisation des informations pour affiner les autorisations d'une unité d'organisation
<a name="access_policies_last-accessed-reduce-permissions-orgs"></a>

Vous pouvez utiliser les dernières informations consultées pour affiner les autorisations d'une unité organisationnelle (UO) dans AWS Organizations.

Par exemple, John Stiles est AWS Organizations administrateur. Il est chargé de s'assurer que les membres de l'entreprise Comptes AWS ne disposent pas d'autorisations excessives. Dans le cadre d'un contrôle de sécurité périodique, il passe en revue les autorisations de son organisation. Son unité organisationnelle `Development` contient des comptes qui sont souvent utilisés pour tester les nouveaux services AWS . John décide d'examiner périodiquement le rapport concernant les services qui n'ont pas été consultés dans plus de 180 jours. Ensuite, il supprime des autorisations d'accès à ces services pour les membres de l'unité organisationnelle. 

John se connecte à la console IAM avec les informations d'identification de son compte de gestion. Dans la console IAM, il localise les AWS Organizations données de l'unité d'organisation. `Development` Il examine le tableau des **rapports d'accès aux services** et constate que deux AWS services n'ont pas été consultés depuis plus de 180 jours que sa période préférée de 180 jours. Il se souvient avoir ajouté des autorisations permettant aux équipes de développement d'accéder à Amazon Lex et AWS Database Migration Service. John contacte les équipes de développement et vérifie qu'elles n'ont plus besoin de tester ces services.

John est maintenant prêt à agir sur les dernières informations consultées. Il choisit **Edit in (Faire des modifications dans) AWS Organizations** et le système lui rappelle que la stratégie de contrôle de service est attachée à plusieurs entités. Il choisit **Continue (Continuer)**. Dans AWS Organizations, il passe en revue les cibles pour savoir à quelles AWS Organizations entités le SCP est rattaché. Toutes les entités se trouvent dans l'unité organisationnelle `Development`.

John décide de refuser l'accès à l'Amazon Lex et de AWS Database Migration Service prendre des mesures au sein du `NewServiceTest` SCP. Cette action supprime l'accès inutile aux services.

# Services et actions concernant les dernières informations consultées relatives à une action IAM
<a name="access_policies_last-accessed-action-last-accessed"></a>

Le tableau suivant répertorie les AWS services pour lesquels les [informations du dernier accès à l'action IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) sont affichées. Pour obtenir la liste des actions de chaque service, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la référence d'autorisation de service.

AWS fournit les dernières informations consultées au format JSON afin de rationaliser l'automatisation des flux de travail de gestion des politiques. Grâce aux informations de référence du service, vous pouvez accéder aux dernières informations sur les actions consultées à Services AWS partir de fichiers lisibles par machine. Pour plus d’informations, consultez les [Informations sur les Service AWS simplifiés pour l’accès programmatique](https://docs.aws.amazon.com/service-authorization/latest/reference/service-reference.html) dans la Référence des autorisations de service.


|  **Service**  |  **Préfixe de service**  | 
| --- | --- | 
|  [Gestion des identités et des accès AWS et Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html)  | access-analyzer | 
|  [Gestion de compte AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsaccountmanagement.html)  | compte | 
|  [AWS Certificate Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscertificatemanager.html)  | acm | 
|  [Amazon Managed Workflows for Apache Airflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedworkflowsforapacheairflow.html)  | airflow | 
|  [AWS Amplify](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplify.html)  | amplify | 
|  [AWS Amplify Générateur d'interface utilisateur](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplifyuibuilder.html)  | amplifyuibuilder | 
|  [Amazon AppIntegrations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappintegrations.html)  | app-integrations | 
|  [AWS AppConfig](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappconfig.html)  | appconfig | 
|  [Amazon AppFlow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappflow.html)  | appflow | 
|  [AWS Profileur des coûts d'application](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationcostprofilerservice.html)  | application-cost-profiler | 
|  [Informations sur les CloudWatch applications Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)  | applicationinsights | 
|  [AWS App Mesh](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappmesh.html)  | appmesh | 
|  [ WorkSpaces Applications Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappstream2.0.html)  | appstream | 
|  [AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)  | appsync | 
|  [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedserviceforprometheus.html)  | aps | 
|  [Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)  | athéna | 
|  [AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)  | auditmanager | 
|  [AWS Auto Scaling](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html)  | autoscaling | 
|  [AWS Marketplace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html)  | aws-marketplace | 
|  [AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)  | sauvegarde | 
|  [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)  | lot | 
|  [Amazon Braket](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbraket.html)  | braket | 
|  [AWS Budgets](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbudgetservice.html)  | Budgets | 
|  [AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloud9.html)  | Cloud9 | 
|  [AWS CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html)  | cloudformation | 
|  [Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html)  | cloudfront | 
|  [AWS CloudHSM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html)  | cloudhsm | 
|  [Amazon CloudSearch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudsearch.html)  | cloudsearch | 
|  [AWS CloudTrail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudtrail.html)  | cloudtrail | 
|  [Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html)  | cloudwatch | 
|  [AWS CodeArtifact](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodeartifact.html)  | codeartifact | 
|  [AWS CodeDeploy](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodedeploy.html)  | codedeploy | 
|  [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodeguruprofiler.html)  | codeguru-profiler | 
|  [ CodeGuru Réviseur Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodegurureviewer.html)  | codeguru-reviewer | 
|  [AWS CodePipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodepipeline.html)  | codepipeline | 
|  [AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestar.html)  | codestar | 
|  [AWS CodeStar Notifications](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestarnotifications.html)  | codestar-notifications | 
|  [Amazon Cognito Identity](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html)  | cognito-identity | 
|  [Groupes d'utilisateurs Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitouserpools.html)  | cognito-idp | 
|  [Amazon Cognito Sync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitosync.html)  | cognito-sync | 
|  [Amazon Comprehend Medical](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)  | comprehendmedical | 
|  [Optimiseur de calcul AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)  | compute-optimizer | 
|  [AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html)  | config | 
|  [Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)  | connexion | 
|  [AWS Cost and Usage Report](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostandusagereport.html)  | cur | 
|  [AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgluedatabrew.html)  | databrew | 
|  [AWS Data Exchange](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdataexchange.html)  | dataexchange | 
|  [AWS Data Pipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatapipeline.html)  | datapipeline | 
|  [DynamoDB Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodbacceleratordax.html)  | dax | 
|  [AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html)  | devicefarm | 
|  [Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html)  | devops-guru | 
|  [AWS Direct Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectconnect.html)  | directconnect | 
|  [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondatalifecyclemanager.html)  | dlm | 
|  [AWS Database Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html)  | dms | 
|  [Clusters élastiques Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html)  | docdb-elastic | 
|  [Amazon DynamoDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodb.html)  | dynamodb | 
|  [Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html)  | ebs | 
|  [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)  | ec2 | 
|  [Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html)  | ecr | 
|  [Amazon Elastic Container Registry Public](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistrypublic.html)  | ecr-public | 
|  [Amazon Elastic Container Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)  | ecs | 
|  [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html)  | eks | 
|  [Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html)  | elasticache | 
|  [AWS Elastic Beanstalk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselasticbeanstalk.html)  | elasticbeanstalk | 
|  [Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)  | elasticfilesystem | 
|  [Elastic Load Balancing](https://docs.aws.amazon.com/service-authorization/latest/reference/list_elasticloadbalancing.html)  | elasticloadbalancing | 
|  [Amazon Elastic Transcoder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastictranscoder.html)  | elastictranscoder | 
|  [Amazon EMR sur EKS (conteneurs EMR)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemroneksemrcontainers.html)  | emr-containers | 
|  [Amazon EMR sans serveur](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemrserverless.html)  | emr-serverless | 
|  [Amazon OpenSearch Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)  | es | 
|  [Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html)  | events | 
|  [Amazon, CloudWatch évidemment](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchevidently.html)  | evidently | 
|  [Amazon FinSpace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfinspace.html)  | finspace | 
|  [Amazon Data Firehose](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)  | firehose | 
|  [AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionsimulator.html)  | fis | 
|  [AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html)  | fms | 
|  [Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector)  | frauddetector | 
|  [Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx)  | fsx | 
|  [ GameLift Serveurs Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift)  | gamelift | 
|  [Amazon Location Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html)  | geo | 
|  [Amazon Glacier](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3glacier.html)  | glacier | 
|  [Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html)  | grafana | 
|  [AWS IoT Greengrass](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotgreengrass.html)  | greengrass | 
|  [AWS Ground Station](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgroundstation.html)  | groundstation | 
|  [Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html)  | guardduty | 
|  [AWS HealthLake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhealthlake.html)  | healthlake | 
|  [Amazon Honeycode](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhoneycode.html)  | honeycode | 
|  [Gestion des identités et des accès AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)  | iam | 
|  [AWS Boutique d'identités](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html)  | identitystore | 
|  [EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html)  | imagebuilder | 
|  [Amazon Inspector Classic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html)  | inspector | 
|  [Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html)  | inspector2 | 
|  [AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)  | iot | 
|  [AWS IoT Analytics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotanalytics.html)  | iotanalytics | 
|  [AWS IoT Core Device Advisor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotcoredeviceadvisor.html)  | iotdeviceadvisor | 
|  [AWS IoT Events](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotevents.html)  | iotevents | 
|  [AWS IoT Fleet Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleethubfordevicemanagement.html)  | iotfleethub | 
|  [AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html)  | iotsitewise | 
|  [AWS IoT TwinMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html)  | iottwinmaker | 
|  [AWS IoT Wireless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html)  | iotwireless | 
|  [Amazon Interactive Video Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)  | ivs | 
|  [Service de vidéo interactive Amazon Chat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservicechat.html)  | ivschat | 
|  [Streaming géré par Amazon pour Apache Kafka](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html)  | kafka | 
|  [Amazon Managed Streaming for Kafka Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforkafkaconnect.html)  | kafkaconnect | 
|  [Amazon Kendra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkendra.html)  | kendra | 
|  [Amazon Kinesis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesis.html)  | kinesis | 
|  [Amazon Kinesis Analytics V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalyticsv2.html)  | kinesisanalytics | 
|  [AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)  | kms | 
|  [AWS Lambda](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html)  | lambda | 
|  [Amazon Lex](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlexv2.html)  | lex | 
|  [AWS License Manager Gestionnaire des abonnements Linux](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslicensemanagerlinuxsubscriptionsmanager.html)  | license-manager-linux-subscriptions | 
|  [Amazon Lightsail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlightsail.html)  | lightsail | 
|  [Amazon CloudWatch Logs](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)  | journaux | 
|  [Amazon Lookout for Equipment](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforequipment.html)  | lookoutequipment | 
|  [Amazon Lookout for Metrics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutformetrics.html)  | lookoutmetrics | 
|  [Amazon Lookout for Vision](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforvision.html)  | lookoutvision | 
|  [AWS Mainframe Modernization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmainframemodernizationservice.html)  | m2 | 
|  [Amazon Managed Blockchain](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedblockchain.html)  | managedblockchain | 
|  [AWS Elemental MediaConnect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconnect.html)  | mediaconnect | 
|  [AWS Elemental MediaConvert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconvert.html)  | mediaconvert | 
|  [AWS Elemental MediaLive](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmedialive.html)  | medialive | 
|  [AWS Elemental MediaStore](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediastore.html)  | mediastore | 
|  [AWS Elemental MediaTailor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediatailor.html)  | mediatailor | 
|  [Amazon MemoryDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmemorydb.html)  | base de données de mémoire | 
|  [AWS Application Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationmigrationservice.html)  | mgn | 
|  [AWS Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhub.html)  | mgh | 
|  [AWS Migration Hub Strategy Recommendations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubstrategyrecommendations.html)  | migrationhub-strategy | 
|  [Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html)  | mobiletargeting | 
|  [Amazon MQ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmq.html)  | mq | 
|  [AWS Network Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkmanager.html)  | networkmanager | 
|  [Amazon Nimble Studio](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html)  | nimble | 
|  [AWS HealthOmics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html)  | omics | 
|  [AWS OpsWorks](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworks.html)  | opsworks | 
|  [AWS OpsWorks CM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworksconfigurationmanagement)  | opsworks-cm | 
|  [AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)  | outposts | 
|  [AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html)  | organisations | 
|  [AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)  | panorama | 
|  [AWS Performance Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsperformanceinsights.html)  | pi | 
|  [Amazon EventBridge Pipes](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgepipes.html)  | pipes | 
|  [Amazon Polly](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)  | polly | 
|  [Amazon Connect Customer Profiles](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectcustomerprofiles.html)  | profile | 
|  [Amazon QLDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html)  | qldb | 
|  [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html)  | ram | 
|  [AWS Corbeille](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)  | rbin | 
|  [Amazon Relational Database Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)  | rds | 
|  [Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html)  | redshift | 
|  [API de données Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html)  | redshift-data | 
|  [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubrefactorspaces.html)  | refactor-spaces | 
|  [Amazon Rekognition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)  | rekognition | 
|  [AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresiliencehub.html)  | resiliencehub | 
|  [Explorateur de ressources AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html)  | resource-explorer-2 | 
|  [Groupes de ressources AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourcegroups.html)  | resource-groups | 
|  [AWS RoboMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrobomaker.html)  | robomaker | 
|  [Gestion des identités et des accès AWS Des rôles n'importe où](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementrolesanywhere.html)  | rolesanywhere | 
|  [Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)  | route53 | 
|  [Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)  | itinéraire 53- recovery-control-config | 
|  [Amazon Route 53 Recovery Readiness](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html)  | route53-recovery-readiness | 
|  [Amazon Route 53 Resolver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)  | route53resolver | 
|  [AWS CloudWatchRHUM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudwatchrum.html)  | rum | 
|  [Amazon Simple Storage Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)  | s3 | 
|  [Amazon S3 sur Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html)  | s3-outposts | 
|  [Fonctionnalités géospatiales d'Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)  | sagemaker-geospatial | 
|  [Savings Plans](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssavingsplans.html)  | savingsplans | 
|  [ EventBridgeSchémas Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgeschemas.html)  | schemas | 
|  [Amazon SimpleDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpledb.html)  | sdb | 
|  [AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)  | secretsmanager | 
|  [AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html)  | securityhub | 
|  [Amazon Security Lake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsecuritylake.html)  | securitylake | 
|  [AWS Serverless Application Repository](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsserverlessapplicationrepository.html)  | serverlessrepo | 
|  [AWS Service Catalog](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservicecatalog.html)  | servicecatalog | 
|  [AWS Cloud Map](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html)  | servicediscovery | 
|  [Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)  | servicequotas | 
|  [Amazon Simple Email Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html)  | ses | 
|  [AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)  | shield | 
|  [AWS Signer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssigner.html)  | signer | 
|  [AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html)  | simspaceweaver | 
|  [AWS Server Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservermigrationservice.html)  | sms | 
|  [Service de messages SMS et vocaux Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html)  | sms-voice | 
|  [AWS Snowball Edge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html)  | snowball | 
|  [Amazon Simple Queue Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html)  | sqs | 
|  [AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html)  | ssm | 
|  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanager.html)  | ssm-incidents | 
|  [Gestionnaire de systèmes AWS pour SAP](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerforsap.html)  | ssm-sap | 
|  [AWS Step Functions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html)  | states | 
|  [AWS Security Token Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html)  | sts | 
|  [Amazon Simple Workflow Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpleworkflowservice.html)  | swf | 
|  [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchsynthetics.html)  | synthetics | 
|  [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonresourcegrouptaggingapi.html)  | balise | 
|  [Amazon Textract](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)  | textract | 
|  [Amazon Timestream](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestream.html)  | timestream | 
|  [AWS Générateur de réseaux de télécommunications](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html)  | tnb | 
|  [Amazon Transcribe](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)  | transcribe | 
|  [AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)  | transfert | 
|  [Amazon Translate](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranslate.html)  | translate | 
|  [Amazon Connect Voice ID](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectvoiceid.html)  | voiceid | 
|  [Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html)  | vpc-lattice | 
|  [AWS WAFV2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html)  | wafv2 | 
|  [AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html)  | wellarchitected | 
|  [Amazon Connect Wisdom](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectwisdom.html)  | wisdom | 
|  [Amazon WorkLink](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworklink.html)  | worklink | 
|  [Amazon WorkSpaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkspaces.html)  | espaces de travail | 
|  [AWS X-Ray](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsx-ray.html)  | xray | 

## Actions concernant les dernières informations consultées relatives à une action
<a name="access_policies_last-accessed-action-last-accessed-supported-actions"></a>

Le tableau suivant répertorie les actions pour lesquelles les dernières informations consultées relatives à une action sont disponibles.

**Important**  
L’action `iam:UpdateAccountName` deviendra obsolète le 22 avril 2026. Après le 22 avril 2026, seule l’autorisation `[account:PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)` contrôlera l’accès à la mise à jour du nom du compte. Nous vous recommandons vivement de mettre à jour toutes [les politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) qui contrôlent les mises à jour des noms de compte afin d'utiliser l'`account:PutAccountName`autorisation.


|  **Préfixe de service**  |  **Actions**  | 
| --- | --- | 
| access-analyzer |  analyseur d'accès : ApplyArchiveRule analyseur d'accès : CancelPolicyGeneration analyseur d'accès : CheckAccessNotGranted analyseur d'accès : CheckNoNewAccess analyseur d'accès : CheckNoPublicAccess analyseur d'accès : CreateAccessPreview analyseur d'accès : CreateAnalyzer analyseur d'accès : CreateArchiveRule analyseur d'accès : DeleteAnalyzer analyseur d'accès : DeleteArchiveRule analyseur d'accès : GenerateFindingRecommendation analyseur d'accès : GetAccessPreview analyseur d'accès : GetAnalyzedResource analyseur d'accès : GetAnalyzer analyseur d'accès : GetArchiveRule analyseur d'accès : GetFinding analyseur d'accès : GetFindingRecommendation analyseur d'accès : GetFindingsStatistics analyseur d'accès : GetGeneratedPolicy analyseur d'accès : ListAccessPreviewFindings analyseur d'accès : ListAccessPreviews analyseur d'accès : ListAnalyzedResources analyseur d'accès : ListAnalyzers analyseur d'accès : ListArchiveRules analyseur d'accès : ListFindings analyseur d'accès : ListPolicyGenerations analyseur d'accès : StartPolicyGeneration analyseur d'accès : StartResourceScan analyseur d'accès : UpdateAnalyzer analyseur d'accès : UpdateArchiveRule analyseur d'accès : UpdateFindings analyseur d'accès : ValidatePolicy  | 
| compte |  compte : AcceptPrimaryEmailUpdate compte : DeleteAlternateContact compte : DisableRegion compte : EnableRegion compte : GetAccountInformation compte : GetAlternateContact compte : GetContactInformation compte : GetGovCloudAccountInformation compte : GetPrimaryEmail compte : GetRegionOptStatus compte : ListRegions compte : PutAccountName compte : PutAlternateContact compte : PutContactInformation compte : StartPrimaryEmailUpdate  | 
| acm |  ACM : DeleteCertificate ACM : DescribeCertificate ACM : ExportCertificate ACM : GetAccountConfiguration ACM : GetCertificate ACM : ImportCertificate ACM : ListCertificates ACM : PutAccountConfiguration ACM : RenewCertificate ACM : RequestCertificate ACM : ResendValidationEmail ACM : UpdateCertificateOptions  | 
| airflow |  débit d'air : CreateCliToken débit d'air : CreateEnvironment débit d'air : CreateWebLoginToken débit d'air : DeleteEnvironment débit d'air : GetEnvironment débit d'air : ListEnvironments débit d'air : PublishMetrics débit d'air : UpdateEnvironment  | 
| amplify |  amplifier : CreateApp amplifier : CreateBackendEnvironment amplifier : CreateBranch amplifier : CreateDeployment amplifier : CreateDomainAssociation amplifier : CreateWebHook amplifier : DeleteApp amplifier : DeleteBackendEnvironment amplifier : DeleteBranch amplifier : DeleteDomainAssociation amplifier : DeleteJob amplifier : DeleteWebHook amplifier : GenerateAccessLogs amplifier : GetApp amplifier : GetArtifactUrl amplifier : GetBackendEnvironment amplifier : GetBranch amplifier : GetDomainAssociation amplifier : GetJob amplifier : GetWebHook amplifier : ListApps amplifier : ListArtifacts amplifier : ListBackendEnvironments amplifier : ListBranches amplifier : ListDomainAssociations amplifier : ListJobs amplifier : ListWebHooks amplifier : StartDeployment amplifier : StartJob amplifier : StopJob amplifier : UpdateApp amplifier : UpdateBranch amplifier : UpdateDomainAssociation amplifier : UpdateWebHook  | 
| amplifyuibuilder |  Amplify UI Builder : CreateComponent Amplify UI Builder : CreateForm Amplify UI Builder : CreateTheme Amplify UI Builder : DeleteComponent Amplify UI Builder : DeleteForm Amplify UI Builder : DeleteTheme Amplify UI Builder : ExportComponents Amplify UI Builder : ExportThemes Amplify UI Builder : GetCodegenJob Amplify UI Builder : ListCodegenJobs Amplify UI Builder : ListComponents Amplify UI Builder : ListForms Amplify UI Builder : ListThemes Amplify UI Builder : ResetMetadataFlag Amplify UI Builder : StartCodegenJob Amplify UI Builder : UpdateComponent Amplify UI Builder : UpdateForm Amplify UI Builder : UpdateTheme  | 
| app-integrations |  intégrations d'applications : CreateApplication intégrations d'applications : CreateDataIntegration intégrations d'applications : CreateDataIntegrationAssociation intégrations d'applications : CreateEventIntegration intégrations d'applications : DeleteApplication intégrations d'applications : DeleteDataIntegration intégrations d'applications : DeleteEventIntegration intégrations d'applications : GetApplication intégrations d'applications : GetDataIntegration intégrations d'applications : GetEventIntegration intégrations d'applications : ListApplicationAssociations intégrations d'applications : ListApplications intégrations d'applications : ListDataIntegrationAssociations intégrations d'applications : ListDataIntegrations intégrations d'applications : ListEventIntegrationAssociations intégrations d'applications : ListEventIntegrations intégrations d'applications : UpdateApplication intégrations d'applications : UpdateDataIntegration intégrations d'applications : UpdateDataIntegrationAssociation intégrations d'applications : UpdateEventIntegration  | 
| appconfig |  configuration de l'application : CreateApplication configuration de l'application : CreateConfigurationProfile configuration de l'application : CreateDeploymentStrategy configuration de l'application : CreateEnvironment configuration de l'application : CreateExtension configuration de l'application : CreateExtensionAssociation configuration de l'application : CreateHostedConfigurationVersion configuration de l'application : DeleteApplication configuration de l'application : DeleteConfigurationProfile configuration de l'application : DeleteDeploymentStrategy configuration de l'application : DeleteEnvironment configuration de l'application : DeleteExtension configuration de l'application : DeleteExtensionAssociation configuration de l'application : DeleteHostedConfigurationVersion configuration de l'application : GetAccountSettings configuration de l'application : GetApplication configuration de l'application : GetConfiguration configuration de l'application : GetConfigurationProfile configuration de l'application : GetDeployment configuration de l'application : GetDeploymentStrategy configuration de l'application : GetEnvironment configuration de l'application : GetExtension configuration de l'application : GetExtensionAssociation configuration de l'application : GetHostedConfigurationVersion configuration de l'application : ListApplications configuration de l'application : ListConfigurationProfiles configuration de l'application : ListDeploymentStrategies configuration de l'application : ListDeployments configuration de l'application : ListEnvironments configuration de l'application : ListExtensionAssociations configuration de l'application : ListExtensions configuration de l'application : ListHostedConfigurationVersions configuration de l'application : StartDeployment configuration de l'application : StopDeployment configuration de l'application : UpdateAccountSettings configuration de l'application : UpdateApplication configuration de l'application : UpdateConfigurationProfile configuration de l'application : UpdateDeploymentStrategy configuration de l'application : UpdateEnvironment configuration de l'application : UpdateExtension configuration de l'application : UpdateExtensionAssociation configuration de l'application : ValidateConfiguration  | 
| appflow |  flux d'applications : CancelFlowExecutions flux d'applications : CreateConnectorProfile flux d'applications : CreateFlow flux d'applications : DeleteConnectorProfile flux d'applications : DeleteFlow flux d'applications : DescribeConnector flux d'applications : DescribeConnectorEntity flux d'applications : DescribeConnectorProfiles flux d'applications : DescribeConnectors flux d'applications : DescribeFlow flux d'applications : DescribeFlowExecutionRecords flux d'applications : ListConnectorEntities flux d'applications : ListConnectors flux d'applications : ListFlows flux d'applications : RegisterConnector flux d'applications : ResetConnectorMetadataCache flux d'applications : StartFlow flux d'applications : StopFlow flux d'applications : UnRegisterConnector flux d'applications : UpdateConnectorProfile flux d'applications : UpdateConnectorRegistration flux d'applications : UpdateFlow  | 
| applicationinsights |  informations sur les applications : AddWorkload informations sur les applications : CreateApplication informations sur les applications : CreateComponent informations sur les applications : CreateLogPattern informations sur les applications : DeleteApplication informations sur les applications : DeleteComponent informations sur les applications : DeleteLogPattern informations sur les applications : DescribeApplication informations sur les applications : DescribeComponent informations sur les applications : DescribeComponentConfiguration informations sur les applications : DescribeComponentConfigurationRecommendation informations sur les applications : DescribeLogPattern informations sur les applications : DescribeObservation informations sur les applications : DescribeProblem informations sur les applications : DescribeProblemObservations informations sur les applications : DescribeWorkload informations sur les applications : ListApplications informations sur les applications : ListComponents informations sur les applications : ListConfigurationHistory informations sur les applications : ListLogPatternSets informations sur les applications : ListLogPatterns informations sur les applications : ListProblems informations sur les applications : ListWorkloads informations sur les applications : RemoveWorkload informations sur les applications : UpdateApplication informations sur les applications : UpdateComponent informations sur les applications : UpdateComponentConfiguration informations sur les applications : UpdateLogPattern informations sur les applications : UpdateWorkload  | 
| appmesh |  maillage d'applications : CreateGatewayRoute maillage d'applications : CreateMesh maillage d'applications : CreateRoute maillage d'applications : CreateVirtualGateway maillage d'applications : CreateVirtualNode maillage d'applications : CreateVirtualRouter maillage d'applications : CreateVirtualService maillage d'applications : DeleteGatewayRoute maillage d'applications : DeleteMesh maillage d'applications : DeleteRoute maillage d'applications : DeleteVirtualGateway maillage d'applications : DeleteVirtualNode maillage d'applications : DeleteVirtualRouter maillage d'applications : DeleteVirtualService maillage d'applications : DescribeGatewayRoute maillage d'applications : DescribeMesh maillage d'applications : DescribeRoute maillage d'applications : DescribeVirtualGateway maillage d'applications : DescribeVirtualNode maillage d'applications : DescribeVirtualRouter maillage d'applications : DescribeVirtualService maillage d'applications : ListGatewayRoutes maillage d'applications : ListMeshes maillage d'applications : ListRoutes maillage d'applications : ListVirtualGateways maillage d'applications : ListVirtualNodes maillage d'applications : ListVirtualRouters maillage d'applications : ListVirtualServices maillage d'applications : StreamAggregatedResources maillage d'applications : UpdateGatewayRoute maillage d'applications : UpdateMesh maillage d'applications : UpdateRoute maillage d'applications : UpdateVirtualGateway maillage d'applications : UpdateVirtualNode maillage d'applications : UpdateVirtualRouter maillage d'applications : UpdateVirtualService  | 
| appstream |  appstream : AssociateAppBlockBuilderAppBlock appstream : AssociateApplicationFleet appstream : AssociateApplicationToEntitlement appstream : AssociateFleet appstream : AssociateSoftwareToImageBuilder appstream : BatchAssociateUserStack appstream : BatchDisassociateUserStack appstream : CopyImage appstream : CreateAppBlock appstream : CreateAppBlockBuilder appstream : URL CreateAppBlockBuilderStreaming appstream : CreateApplication appstream : CreateDirectoryConfig appstream : CreateEntitlement appstream : CreateFleet appstream : CreateImageBuilder appstream : URL CreateImageBuilderStreaming appstream : CreateStack appstream : URL CreateStreaming appstream : CreateThemeForStack appstream : CreateUpdatedImage appstream : CreateUsageReportSubscription appstream : CreateUser appstream : DeleteAppBlock appstream : DeleteAppBlockBuilder appstream : DeleteApplication appstream : DeleteDirectoryConfig appstream : DeleteEntitlement appstream : DeleteFleet appstream : DeleteImage appstream : DeleteImageBuilder appstream : DeleteImagePermissions appstream : DeleteStack appstream : DeleteThemeForStack appstream : DeleteUsageReportSubscription appstream : DeleteUser appstream : DescribeAppBlockBuilderAppBlockAssociations appstream : DescribeAppBlockBuilders appstream : DescribeAppBlocks appstream : DescribeAppLicenseUsage appstream : DescribeApplicationFleetAssociations appstream : DescribeApplications appstream : DescribeDirectoryConfigs appstream : DescribeEntitlements appstream : DescribeFleets appstream : DescribeImageBuilders appstream : DescribeImagePermissions appstream : DescribeImages appstream : DescribeSessions appstream : DescribeStacks appstream : DescribeThemeForStack appstream : DescribeUsageReportSubscriptions appstream : DescribeUserStackAssociations appstream : DescribeUsers appstream : DisableUser appstream : DisassociateAppBlockBuilderAppBlock appstream : DisassociateApplicationFleet appstream : DisassociateApplicationFromEntitlement appstream : DisassociateFleet appstream : DisassociateSoftwareFromImageBuilder appstream : EnableUser appstream : ExpireSession appstream : GetExportImageTask appstream : ListAssociatedFleets appstream : ListAssociatedStacks appstream : ListEntitledApplications appstream : ListExportImageTasks appstream : StartAppBlockBuilder appstream : StartFleet appstream : StartImageBuilder appstream : StartSoftwareDeploymentToImageBuilder appstream : StopAppBlockBuilder appstream : StopFleet appstream : StopImageBuilder appstream : UpdateAppBlockBuilder appstream : UpdateApplication appstream : UpdateDirectoryConfig appstream : UpdateEntitlement appstream : UpdateFleet appstream : UpdateImagePermissions appstream : UpdateStack appstream : UpdateThemeForStack  | 
| appsync |  synchronisation des applications : AssociateApi synchronisation des applications : AssociateMergedGraphqlApi synchronisation des applications : AssociateSourceGraphqlApi synchronisation des applications : ACL AssociateWeb synchronisation des applications : CreateApi synchronisation des applications : CreateApiCache synchronisation des applications : CreateApiKey synchronisation des applications : CreateChannelNamespace synchronisation des applications : CreateDataSource synchronisation des applications : CreateDomainName synchronisation des applications : CreateFunction synchronisation des applications : CreateGraphqlApi synchronisation des applications : CreateResolver synchronisation des applications : CreateType synchronisation des applications : DeleteApi synchronisation des applications : DeleteApiCache synchronisation des applications : DeleteApiKey synchronisation des applications : DeleteChannelNamespace synchronisation des applications : DeleteDataSource synchronisation des applications : DeleteDomainName synchronisation des applications : DeleteFunction synchronisation des applications : DeleteGraphqlApi synchronisation des applications : DeleteResolver synchronisation des applications : DeleteType synchronisation des applications : DisassociateApi synchronisation des applications : DisassociateMergedGraphqlApi synchronisation des applications : DisassociateSourceGraphqlApi synchronisation des applications : ACL DisassociateWeb synchronisation des applications : EvaluateCode synchronisation des applications : EvaluateMappingTemplate synchronisation des applications : FlushApiCache synchronisation des applications : GetApi synchronisation des applications : GetApiAssociation synchronisation des applications : GetApiCache synchronisation des applications : GetChannelNamespace synchronisation des applications : GetDataSource synchronisation des applications : GetDataSourceIntrospection synchronisation des applications : GetDomainName synchronisation des applications : GetFunction synchronisation des applications : GetGraphqlApi synchronisation des applications : GetGraphqlApiEnvironmentVariables synchronisation des applications : GetIntrospectionSchema synchronisation des applications : GetResolver synchronisation des applications : GetSchemaCreationStatus synchronisation des applications : GetSourceApiAssociation synchronisation des applications : GetType appsync : Ressource GetWeb ACLFor synchronisation des applications : ListApiKeys synchronisation des applications : ListApis synchronisation des applications : ListChannelNamespaces synchronisation des applications : ListDataSources synchronisation des applications : ListDomainNames synchronisation des applications : ListFunctions synchronisation des applications : ListGraphqlApis synchronisation des applications : ListResolvers synchronisation des applications : ListResolversByFunction synchronisation des applications : ACL ListResourcesForWeb synchronisation des applications : ListSourceApiAssociations synchronisation des applications : ListTypes synchronisation des applications : ListTypesByAssociation synchronisation des applications : PutGraphqlApiEnvironmentVariables synchronisation des applications : StartDataSourceIntrospection synchronisation des applications : StartSchemaCreation synchronisation des applications : StartSchemaMerge synchronisation des applications : UpdateApi synchronisation des applications : UpdateApiCache synchronisation des applications : UpdateApiKey synchronisation des applications : UpdateChannelNamespace synchronisation des applications : UpdateDataSource synchronisation des applications : UpdateDomainName synchronisation des applications : UpdateFunction synchronisation des applications : UpdateGraphqlApi synchronisation des applications : UpdateResolver synchronisation des applications : UpdateSourceApiAssociation synchronisation des applications : UpdateType  | 
| aps |  Cartes : CreateAlertManagerDefinition Cartes : CreateAnomalyDetector Cartes : CreateLoggingConfiguration Cartes : CreateQueryLoggingConfiguration Cartes : CreateRuleGroupsNamespace Cartes : CreateWorkspace Cartes : DeleteAlertManagerDefinition Cartes : DeleteAnomalyDetector Cartes : DeleteLoggingConfiguration Cartes : DeleteQueryLoggingConfiguration Cartes : DeleteResourcePolicy Cartes : DeleteRuleGroupsNamespace Cartes : DeleteScraper Cartes : DeleteScraperLoggingConfiguration Cartes : DeleteWorkspace Cartes : DescribeAlertManagerDefinition Cartes : DescribeAnomalyDetector Cartes : DescribeLoggingConfiguration Cartes : DescribeQueryLoggingConfiguration Cartes : DescribeResourcePolicy Cartes : DescribeRuleGroupsNamespace Cartes : DescribeScraper Cartes : DescribeScraperLoggingConfiguration Cartes : DescribeWorkspace Cartes : DescribeWorkspaceConfiguration Cartes : GetDefaultScraperConfiguration Cartes : ListAnomalyDetectors Cartes : ListRuleGroupsNamespaces Cartes : ListScrapers Cartes : ListWorkspaces Cartes : PutAlertManagerDefinition Cartes : PutAnomalyDetector Cartes : PutResourcePolicy Cartes : PutRuleGroupsNamespace Cartes : UpdateLoggingConfiguration Cartes : UpdateQueryLoggingConfiguration Cartes : UpdateScraper Cartes : UpdateScraperLoggingConfiguration Cartes : UpdateWorkspaceAlias Cartes : UpdateWorkspaceConfiguration  | 
| athéna |  Athéna : BatchGetNamedQuery Athéna : BatchGetPreparedStatement Athéna : BatchGetQueryExecution Athéna : CancelCapacityReservation Athéna : CreateCapacityReservation Athéna : CreateDataCatalog Athéna : CreateNamedQuery Athéna : CreateNotebook Athéna : CreatePreparedStatement Athéna : CreatePresignedNotebookUrl Athéna : CreateWorkGroup Athéna : DeleteCapacityReservation Athéna : DeleteDataCatalog Athéna : DeleteNamedQuery Athéna : DeleteNotebook Athéna : DeletePreparedStatement Athéna : DeleteWorkGroup Athéna : ExportNotebook Athéna : GetCalculationExecution Athéna : GetCalculationExecutionCode Athéna : GetCalculationExecutionStatus Athéna : GetCapacityAssignmentConfiguration Athéna : GetCapacityReservation Athéna : GetDataCatalog Athéna : GetDatabase Athéna : GetNamedQuery Athéna : GetNotebookMetadata Athéna : GetPreparedStatement Athéna : GetQueryExecution Athéna : GetQueryResults Athéna : GetQueryResultsStream Athéna : GetQueryRuntimeStatistics Athéna : GetResourceDashboard Athéna : GetSession Athéna : GetSessionEndpoint Athéna : GetSessionStatus Athéna : GetTableMetadata Athéna : GetWorkGroup Athéna : ImportNotebook Athéna : ListApplication DPUSizes Athéna : ListCalculationExecutions Athéna : ListCapacityReservations Athéna : ListDataCatalogs Athéna : ListDatabases Athéna : ListEngineVersions Athéna : ListExecutors Athéna : ListNamedQueries Athéna : ListNotebookMetadata Athéna : ListNotebookSessions Athéna : ListPreparedStatements Athéna : ListQueryExecutions Athéna : ListSessions Athéna : ListTableMetadata Athéna : ListWorkGroups Athéna : PutCapacityAssignmentConfiguration Athéna : StartCalculationExecution Athéna : StartQueryExecution Athéna : StartSession Athéna : StopCalculationExecution Athéna : StopQueryExecution Athéna : TerminateSession Athéna : UpdateCapacityReservation Athéna : UpdateDataCatalog Athéna : UpdateNamedQuery Athéna : UpdateNotebook Athéna : UpdateNotebookMetadata Athéna : UpdatePreparedStatement Athéna : UpdateWorkGroup  | 
| auditmanager |  responsable de l'audit : AssociateAssessmentReportEvidenceFolder responsable de l'audit : BatchAssociateAssessmentReportEvidence responsable de l'audit : BatchCreateDelegationByAssessment responsable de l'audit : BatchDeleteDelegationByAssessment responsable de l'audit : BatchDisassociateAssessmentReportEvidence responsable de l'audit : BatchImportEvidenceToAssessmentControl responsable de l'audit : CreateAssessment responsable de l'audit : CreateAssessmentFramework responsable de l'audit : CreateAssessmentReport responsable de l'audit : CreateControl responsable de l'audit : DeleteAssessment responsable de l'audit : DeleteAssessmentFramework responsable de l'audit : DeleteAssessmentFrameworkShare responsable de l'audit : DeleteAssessmentReport responsable de l'audit : DeleteControl responsable de l'audit : DeregisterAccount responsable de l'audit : DeregisterOrganizationAdminAccount responsable de l'audit : DisassociateAssessmentReportEvidenceFolder responsable de l'audit : GetAccountStatus responsable de l'audit : GetAssessment responsable de l'audit : GetAssessmentFramework responsable de l'audit : GetAssessmentReportUrl responsable de l'audit : GetChangeLogs responsable de l'audit : GetControl responsable de l'audit : GetDelegations responsable de l'audit : GetEvidence responsable de l'audit : GetEvidenceByEvidenceFolder responsable de l'audit : GetEvidenceFileUploadUrl responsable de l'audit : GetEvidenceFolder responsable de l'audit : GetEvidenceFoldersByAssessment responsable de l'audit : GetEvidenceFoldersByAssessmentControl responsable de l'audit : GetInsights responsable de l'audit : GetInsightsByAssessment responsable de l'audit : GetOrganizationAdminAccount responsable de l'audit : GetServicesInScope responsable de l'audit : GetSettings responsable de l'audit : ListAssessmentControlInsightsByControlDomain responsable de l'audit : ListAssessmentFrameworkShareRequests responsable de l'audit : ListAssessmentFrameworks responsable de l'audit : ListAssessmentReports responsable de l'audit : ListAssessments responsable de l'audit : ListControlDomainInsights responsable de l'audit : ListControlDomainInsightsByAssessment responsable de l'audit : ListControlInsightsByControlDomain responsable de l'audit : ListControls responsable de l'audit : ListKeywordsForDataSource responsable de l'audit : ListNotifications responsable de l'audit : RegisterAccount responsable de l'audit : RegisterOrganizationAdminAccount responsable de l'audit : StartAssessmentFrameworkShare responsable de l'audit : UpdateAssessment responsable de l'audit : UpdateAssessmentControl responsable de l'audit : UpdateAssessmentControlSetStatus responsable de l'audit : UpdateAssessmentFramework responsable de l'audit : UpdateAssessmentFrameworkShare responsable de l'audit : UpdateAssessmentStatus responsable de l'audit : UpdateControl responsable de l'audit : UpdateSettings responsable de l'audit : ValidateAssessmentReportIntegrity  | 
| autoscaling |  mise à l'échelle automatique : AttachInstances mise à l'échelle automatique : AttachLoadBalancerTargetGroups mise à l'échelle automatique : AttachLoadBalancers mise à l'échelle automatique : AttachTrafficSources mise à l'échelle automatique : BatchDeleteScheduledAction mise à l'échelle automatique : BatchPutScheduledUpdateGroupAction mise à l'échelle automatique : CancelInstanceRefresh mise à l'échelle automatique : CompleteLifecycleAction mise à l'échelle automatique : CreateAutoScalingGroup mise à l'échelle automatique : CreateLaunchConfiguration mise à l'échelle automatique : DeleteAutoScalingGroup mise à l'échelle automatique : DeleteLaunchConfiguration mise à l'échelle automatique : DeleteLifecycleHook mise à l'échelle automatique : DeleteNotificationConfiguration mise à l'échelle automatique : DeletePolicy mise à l'échelle automatique : DeleteScheduledAction mise à l'échelle automatique : DeleteWarmPool mise à l'échelle automatique : DescribeAccountLimits mise à l'échelle automatique : DescribeAdjustmentTypes mise à l'échelle automatique : DescribeAutoScalingGroups mise à l'échelle automatique : DescribeAutoScalingInstances mise à l'échelle automatique : DescribeAutoScalingNotificationTypes mise à l'échelle automatique : DescribeInstanceRefreshes mise à l'échelle automatique : DescribeLaunchConfigurations mise à l'échelle automatique : DescribeLifecycleHookTypes mise à l'échelle automatique : DescribeLifecycleHooks mise à l'échelle automatique : DescribeLoadBalancerTargetGroups mise à l'échelle automatique : DescribeLoadBalancers mise à l'échelle automatique : DescribeMetricCollectionTypes mise à l'échelle automatique : DescribeNotificationConfigurations mise à l'échelle automatique : DescribePolicies mise à l'échelle automatique : DescribeScalingActivities mise à l'échelle automatique : DescribeScalingProcessTypes mise à l'échelle automatique : DescribeScheduledActions mise à l'échelle automatique : DescribeTerminationPolicyTypes mise à l'échelle automatique : DescribeTrafficSources mise à l'échelle automatique : DescribeWarmPool mise à l'échelle automatique : DetachInstances mise à l'échelle automatique : DetachLoadBalancerTargetGroups mise à l'échelle automatique : DetachLoadBalancers mise à l'échelle automatique : DetachTrafficSources mise à l'échelle automatique : DisableMetricsCollection mise à l'échelle automatique : EnableMetricsCollection mise à l'échelle automatique : EnterStandby mise à l'échelle automatique : ExecutePolicy mise à l'échelle automatique : ExitStandby mise à l'échelle automatique : GetPredictiveScalingForecast mise à l'échelle automatique : PutLifecycleHook mise à l'échelle automatique : PutNotificationConfiguration mise à l'échelle automatique : PutScalingPolicy mise à l'échelle automatique : PutScheduledUpdateGroupAction mise à l'échelle automatique : PutWarmPool mise à l'échelle automatique : RecordLifecycleActionHeartbeat mise à l'échelle automatique : ResumeProcesses mise à l'échelle automatique : RollbackInstanceRefresh mise à l'échelle automatique : SetDesiredCapacity mise à l'échelle automatique : SetInstanceHealth mise à l'échelle automatique : SetInstanceProtection mise à l'échelle automatique : StartInstanceRefresh mise à l'échelle automatique : SuspendProcesses mise à l'échelle automatique : TerminateInstanceInAutoScalingGroup mise à l'échelle automatique : UpdateAutoScalingGroup  | 
| aws-marketplace |  AWS Marketplace : GetEntitlements  | 
| sauvegarde |  sauvegarde : CancelLegalHold sauvegarde : CreateBackupPlan sauvegarde : CreateBackupSelection sauvegarde : CreateBackupVault sauvegarde : CreateFramework sauvegarde : CreateLegalHold sauvegarde : CreateLogicallyAirGappedBackupVault sauvegarde : CreateReportPlan sauvegarde : CreateRestoreAccessBackupVault sauvegarde : CreateRestoreTestingPlan sauvegarde : CreateRestoreTestingSelection sauvegarde : CreateTieringConfiguration sauvegarde : DeleteBackupPlan sauvegarde : DeleteBackupSelection sauvegarde : DeleteBackupVault sauvegarde : DeleteBackupVaultAccessPolicy sauvegarde : DeleteBackupVaultLockConfiguration sauvegarde : DeleteBackupVaultNotifications sauvegarde : DeleteFramework sauvegarde : DeleteRecoveryPoint sauvegarde : DeleteReportPlan sauvegarde : DeleteRestoreTestingPlan sauvegarde : DeleteRestoreTestingSelection sauvegarde : DeleteTieringConfiguration sauvegarde : DescribeBackupJob sauvegarde : DescribeBackupVault sauvegarde : DescribeCopyJob sauvegarde : DescribeFramework sauvegarde : DescribeGlobalSettings sauvegarde : DescribeProtectedResource sauvegarde : DescribeRecoveryPoint sauvegarde : DescribeRegionSettings sauvegarde : DescribeReportJob sauvegarde : DescribeReportPlan sauvegarde : DescribeRestoreJob sauvegarde : DescribeScanJob sauvegarde : DisassociateRecoveryPoint sauvegarde : DisassociateRecoveryPointFromParent sauvegarde : ExportBackupPlanTemplate sauvegarde : GetBackupPlan sauvegarde : GetBackupPlanFrom JSON sauvegarde : GetBackupPlanFromTemplate sauvegarde : GetBackupSelection sauvegarde : GetBackupVaultAccessPolicy sauvegarde : GetBackupVaultNotifications sauvegarde : GetLegalHold sauvegarde : GetRecoveryPointRestoreMetadata sauvegarde : GetRestoreJobMetadata sauvegarde : GetRestoreTestingInferredMetadata sauvegarde : GetRestoreTestingPlan sauvegarde : GetRestoreTestingSelection sauvegarde : GetSupportedResourceTypes sauvegarde : GetTieringConfiguration sauvegarde : ListBackupJobSummaries sauvegarde : ListBackupJobs sauvegarde : ListBackupPlanTemplates sauvegarde : ListBackupPlanVersions sauvegarde : ListBackupPlans sauvegarde : ListBackupSelections sauvegarde : ListBackupVaults sauvegarde : ListCopyJobSummaries sauvegarde : ListCopyJobs sauvegarde : ListFrameworks sauvegarde : ListIndexedRecoveryPoints sauvegarde : ListLegalHolds sauvegarde : ListProtectedResources sauvegarde : ListRecoveryPointsByBackupVault sauvegarde : ListRecoveryPointsByLegalHold sauvegarde : ListRecoveryPointsByResource sauvegarde : ListReportJobs sauvegarde : ListReportPlans sauvegarde : ListRestoreAccessBackupVaults sauvegarde : ListRestoreJobSummaries sauvegarde : ListRestoreJobs sauvegarde : ListRestoreJobsByProtectedResource sauvegarde : ListRestoreTestingPlans sauvegarde : ListRestoreTestingSelections sauvegarde : ListScanJobSummaries sauvegarde : ListScanJobs sauvegarde : ListTieringConfigurations sauvegarde : PutBackupVaultAccessPolicy sauvegarde : PutBackupVaultLockConfiguration sauvegarde : PutBackupVaultNotifications sauvegarde : PutRestoreValidationResult sauvegarde : StartBackupJob sauvegarde : StartCopyJob sauvegarde : StartReportJob sauvegarde : StartRestoreJob sauvegarde : StopBackupJob sauvegarde : UpdateBackupPlan sauvegarde : UpdateFramework sauvegarde : UpdateGlobalSettings sauvegarde : UpdateRecoveryPointLifecycle sauvegarde : UpdateRegionSettings sauvegarde : UpdateReportPlan sauvegarde : UpdateRestoreTestingPlan sauvegarde : UpdateRestoreTestingSelection sauvegarde : UpdateTieringConfiguration  | 
| lot |  lot : CancelJob lot : CreateComputeEnvironment lot : CreateConsumableResource lot : CreateJobQueue lot : CreateSchedulingPolicy lot : CreateServiceEnvironment lot : DeleteComputeEnvironment lot : DeleteConsumableResource lot : DeleteJobQueue lot : DeleteSchedulingPolicy lot : DeleteServiceEnvironment lot : DeregisterJobDefinition lot : DescribeComputeEnvironments lot : DescribeConsumableResource lot : DescribeJobDefinitions lot : DescribeJobQueues lot : DescribeJobs lot : DescribeSchedulingPolicies lot : DescribeServiceEnvironments lot : DescribeServiceJob lot : GetJobQueueSnapshot lot : ListConsumableResources lot : ListJobs lot : ListJobsByConsumableResource lot : ListSchedulingPolicies lot : ListServiceJobs lot : RegisterJobDefinition lot : SubmitJob lot : SubmitServiceJob lot : TerminateJob lot : TerminateServiceJob lot : UpdateComputeEnvironment lot : UpdateConsumableResource lot : UpdateJobQueue lot : UpdateSchedulingPolicy lot : UpdateServiceEnvironment  | 
| braket |  support : CancelJob support : CancelQuantumTask support : CreateJob support : CreateQuantumTask support : CreateSpendingLimit support : GetDevice support : GetJob support : GetQuantumTask support : SearchDevices support : SearchJobs support : SearchQuantumTasks support : SearchSpendingLimits  | 
| Budgets |  budgets : CreateBudgetAction budgets : DeleteBudgetAction budgets : DescribeBudgetAction budgets : DescribeBudgetActionHistories budgets : DescribeBudgetActionsForAccount budgets : DescribeBudgetActionsForBudget budgets : ExecuteBudgetAction budgets : ModifyBudget budgets : UpdateBudgetAction budgets : ViewBudget  | 
| Cloud9 |  nuage 9 : CreateEnvironment EC2 nuage 9 : CreateEnvironmentMembership nuage 9 : DeleteEnvironment nuage 9 : DeleteEnvironmentMembership nuage 9 : DescribeEnvironmentMemberships nuage 9 : DescribeEnvironmentStatus nuage 9 : DescribeEnvironments nuage 9 : ListEnvironments nuage 9 : UpdateEnvironment nuage 9 : UpdateEnvironmentMembership  | 
| cloudformation |  formation des nuages : BatchDescribeTypeConfigurations formation des nuages : CancelUpdateStack formation des nuages : ContinueUpdateRollback formation des nuages : CreateChangeSet formation des nuages : CreateGeneratedTemplate formation des nuages : CreateStack formation des nuages : CreateStackInstances formation des nuages : CreateStackSet formation des nuages : DeactivateType formation des nuages : DeleteChangeSet formation des nuages : DeleteGeneratedTemplate formation des nuages : DeleteStack formation des nuages : DeleteStackInstances formation des nuages : DeleteStackSet formation des nuages : DeregisterType formation des nuages : DescribeAccountLimits formation des nuages : DescribeChangeSet formation des nuages : DescribeChangeSetHooks formation des nuages : DescribeEvents formation des nuages : DescribeGeneratedTemplate formation des nuages : DescribeOrganizationsAccess formation des nuages : DescribePublisher formation des nuages : DescribeResourceScan formation des nuages : DescribeStackDriftDetectionStatus formation des nuages : DescribeStackEvents formation des nuages : DescribeStackInstance formation des nuages : DescribeStackResource formation des nuages : DescribeStackResourceDrifts formation des nuages : DescribeStackResources formation des nuages : DescribeStackSet formation des nuages : DescribeStackSetOperation formation des nuages : DescribeStacks formation des nuages : DescribeType formation des nuages : DescribeTypeRegistration formation des nuages : DetectStackDrift formation des nuages : DetectStackResourceDrift formation des nuages : DetectStackSetDrift formation des nuages : EstimateTemplateCost formation des nuages : ExecuteChangeSet formation des nuages : GetGeneratedTemplate formation des nuages : GetHookResult formation des nuages : GetStackPolicy formation des nuages : GetTemplate formation des nuages : GetTemplateSummary formation des nuages : ImportStacksToStackSet formation des nuages : ListChangeSets formation des nuages : ListExports formation des nuages : ListGeneratedTemplates formation des nuages : ListHookResults formation des nuages : ListImports formation des nuages : ListResourceScanRelatedResources formation des nuages : ListResourceScanResources formation des nuages : ListResourceScans formation des nuages : ListStackInstanceResourceDrifts formation des nuages : ListStackInstances formation des nuages : ListStackRefactors formation des nuages : ListStackResources formation des nuages : ListStackSetAutoDeploymentTargets formation des nuages : ListStackSetOperationResults formation des nuages : ListStackSetOperations formation des nuages : ListStackSets formation des nuages : ListTypeRegistrations formation des nuages : ListTypeVersions formation des nuages : ListTypes formation des nuages : PublishType formation des nuages : RecordHandlerProgress formation des nuages : RegisterPublisher formation des nuages : RegisterType formation des nuages : RollbackStack formation des nuages : SetStackPolicy formation des nuages : SetTypeConfiguration formation des nuages : SetTypeDefaultVersion formation des nuages : SignalResource formation des nuages : StartResourceScan formation des nuages : StopStackSetOperation formation des nuages : TestType formation des nuages : UpdateGeneratedTemplate formation des nuages : UpdateStack formation des nuages : UpdateStackInstances formation des nuages : UpdateStackSet formation des nuages : UpdateTerminationProtection formation des nuages : ValidateTemplate  | 
| cloudfront |  front de nuage : AssociateAlias front de cloud : ACL AssociateDistributionTenantWeb front de cloud : ACL AssociateDistributionWeb front de nuage : CreateCachePolicy front de nuage : CreateCloudFrontOriginAccessIdentity front de nuage : CreateConnectionFunction front de nuage : CreateContinuousDeploymentPolicy front de nuage : CreateDistributionTenant front de nuage : CreateFieldLevelEncryptionConfig front de nuage : CreateFieldLevelEncryptionProfile front de nuage : CreateFunction front de nuage : CreateInvalidation front de nuage : CreateKeyGroup front de nuage : CreateKeyValueStore front de nuage : CreateMonitoringSubscription front de nuage : CreateOriginAccessControl front de nuage : CreateOriginRequestPolicy front de nuage : CreatePublicKey front de nuage : CreateRealtimeLogConfig front de nuage : CreateResponseHeadersPolicy front de nuage : CreateTrustStore front de nuage : DeleteAnycastIpList front de nuage : DeleteCachePolicy front de nuage : DeleteCloudFrontOriginAccessIdentity front de nuage : DeleteConnectionFunction front de nuage : DeleteConnectionGroup front de nuage : DeleteContinuousDeploymentPolicy front de nuage : DeleteDistribution front de nuage : DeleteDistributionTenant front de nuage : DeleteFieldLevelEncryptionConfig front de nuage : DeleteFieldLevelEncryptionProfile front de nuage : DeleteFunction front de nuage : DeleteKeyGroup front de nuage : DeleteKeyValueStore front de nuage : DeleteMonitoringSubscription front de nuage : DeleteOriginAccessControl front de nuage : DeleteOriginRequestPolicy front de nuage : DeletePublicKey front de nuage : DeleteRealtimeLogConfig front de nuage : DeleteResponseHeadersPolicy front de nuage : DeleteStreamingDistribution front de nuage : DeleteTrustStore front de nuage : DeleteVpcOrigin front de nuage : DescribeFunction front de nuage : DescribeKeyValueStore front de cloud : ACL DisassociateDistributionTenantWeb front de cloud : ACL DisassociateDistributionWeb front de nuage : GetAnycastIpList front de nuage : GetCachePolicy front de nuage : GetCachePolicyConfig front de nuage : GetCloudFrontOriginAccessIdentity front de nuage : GetCloudFrontOriginAccessIdentityConfig front de nuage : GetContinuousDeploymentPolicy front de nuage : GetContinuousDeploymentPolicyConfig front de nuage : GetDistributionConfig front de nuage : GetFieldLevelEncryption front de nuage : GetFieldLevelEncryptionConfig front de nuage : GetFieldLevelEncryptionProfile front de nuage : GetFieldLevelEncryptionProfileConfig front de nuage : GetFunction front de nuage : GetInvalidation front de nuage : GetInvalidationForDistributionTenant front de nuage : GetKeyGroup front de nuage : GetKeyGroupConfig front de nuage : GetMonitoringSubscription front de nuage : GetOriginAccessControl front de nuage : GetOriginAccessControlConfig front de nuage : GetOriginRequestPolicy front de nuage : GetOriginRequestPolicyConfig front de nuage : GetPublicKey front de nuage : GetPublicKeyConfig front de nuage : GetRealtimeLogConfig front de nuage : GetResponseHeadersPolicy front de nuage : GetResponseHeadersPolicyConfig front de nuage : GetStreamingDistribution front de nuage : GetStreamingDistributionConfig front de nuage : GetVpcOrigin front de nuage : ListAnycastIpLists front de nuage : ListCachePolicies front de nuage : ListCloudFrontOriginAccessIdentities front de nuage : ListConflictingAliases front de nuage : ListConnectionFunctions front de nuage : ListConnectionGroups front de nuage : ListContinuousDeploymentPolicies front de nuage : ListDistributionTenants front de nuage : ListDistributionTenantsByCustomization front de nuage : ListDistributions front de nuage : ListDistributionsByAnycastIpListId front de nuage : ListDistributionsByCachePolicyId front de nuage : ListDistributionsByConnectionMode front de nuage : ListDistributionsByKeyGroup front de nuage : ListDistributionsByOriginRequestPolicyId front de nuage : ListDistributionsByRealtimeLogConfig front de nuage : ListDistributionsByResponseHeadersPolicyId front de nuage : ListDistributionsByVpcOriginId front de nuage : ListDistributionsByWeb ACLId front de nuage : ListFieldLevelEncryptionConfigs front de nuage : ListFieldLevelEncryptionProfiles front de nuage : ListFunctions front de nuage : ListInvalidations front de nuage : ListInvalidationsForDistributionTenant front de nuage : ListKeyGroups front de nuage : ListKeyValueStores front de nuage : ListOriginAccessControls front de nuage : ListOriginRequestPolicies front de nuage : ListPublicKeys front de nuage : ListRealtimeLogConfigs front de nuage : ListResponseHeadersPolicies front de nuage : ListStreamingDistributions front de nuage : ListTrustStores front de nuage : PublishConnectionFunction front de nuage : PublishFunction front de nuage : TestConnectionFunction front de nuage : TestFunction front de nuage : UpdateAnycastIpList front de nuage : UpdateCachePolicy front de nuage : UpdateCloudFrontOriginAccessIdentity front de nuage : UpdateConnectionFunction front de nuage : UpdateConnectionGroup front de nuage : UpdateContinuousDeploymentPolicy front de nuage : UpdateDistribution front de nuage : UpdateDistributionTenant front de nuage : UpdateFieldLevelEncryptionConfig front de nuage : UpdateFieldLevelEncryptionProfile front de nuage : UpdateFunction front de nuage : UpdateKeyGroup front de nuage : UpdateKeyValueStore front de nuage : UpdateOriginAccessControl front de nuage : UpdateOriginRequestPolicy front de nuage : UpdatePublicKey front de nuage : UpdateRealtimeLogConfig front de nuage : UpdateResponseHeadersPolicy front de nuage : UpdateTrustStore  | 
| cloudhsm |  cloudhsm : CreateHsm cloudhsm : DeleteBackup cloudhsm : DeleteHsm cloudhsm : DeleteResourcePolicy cloudhsm : DescribeBackups cloudhsm : DescribeClusters cloudhsm : GetResourcePolicy cloudhsm : InitializeCluster cloudhsm : ModifyBackupAttributes cloudhsm : ModifyCluster cloudhsm : PutResourcePolicy cloudhsm : RestoreBackup  | 
| cloudsearch |  recherche dans le cloud : BuildSuggesters recherche dans le cloud : CreateDomain recherche dans le cloud : DefineAnalysisScheme recherche dans le cloud : DefineExpression recherche dans le cloud : DefineIndexField recherche dans le cloud : DefineSuggester recherche dans le cloud : DeleteAnalysisScheme recherche dans le cloud : DeleteDomain recherche dans le cloud : DeleteExpression recherche dans le cloud : DeleteIndexField recherche dans le cloud : DeleteSuggester recherche dans le cloud : DescribeAnalysisSchemes recherche dans le cloud : DescribeAvailabilityOptions recherche dans le cloud : DescribeDomainEndpointOptions recherche dans le cloud : DescribeDomains recherche dans le cloud : DescribeExpressions recherche dans le cloud : DescribeIndexFields recherche dans le cloud : DescribeScalingParameters recherche dans le cloud : DescribeServiceAccessPolicies recherche dans le cloud : DescribeSuggesters recherche dans le cloud : IndexDocuments recherche dans le cloud : ListDomainNames recherche dans le cloud : UpdateAvailabilityOptions recherche dans le cloud : UpdateDomainEndpointOptions recherche dans le cloud : UpdateScalingParameters recherche dans le cloud : UpdateServiceAccessPolicies  | 
| cloudtrail |  traînée nuageuse : CancelQuery traînée nuageuse : CreateChannel traînée nuageuse : CreateDashboard traînée nuageuse : CreateEventDataStore traînée nuageuse : CreateTrail traînée nuageuse : DeleteChannel traînée nuageuse : DeleteDashboard traînée nuageuse : DeleteEventDataStore traînée nuageuse : DeleteResourcePolicy traînée nuageuse : DeleteTrail traînée nuageuse : DeregisterOrganizationDelegatedAdmin traînée nuageuse : DescribeQuery traînée nuageuse : DescribeTrails traînée nuageuse : DisableFederation traînée nuageuse : GenerateQuery traînée nuageuse : GetChannel traînée nuageuse : GetDashboard traînée nuageuse : GetEventConfiguration traînée nuageuse : GetEventDataStore traînée nuageuse : GetEventDataStoreData traînée nuageuse : GetEventSelectors traînée nuageuse : GetImport traînée nuageuse : GetInsightSelectors traînée nuageuse : GetResourcePolicy traînée nuageuse : GetTrail traînée nuageuse : GetTrailStatus traînée nuageuse : ListChannels traînée nuageuse : ListDashboards traînée nuageuse : ListEventDataStores traînée nuageuse : ListImportFailures traînée nuageuse : ListImports traînée nuageuse : ListInsightsData traînée nuageuse : ListPublicKeys traînée nuageuse : ListQueries traînée nuageuse : ListTrails traînée nuageuse : LookupEvents traînée nuageuse : PutEventConfiguration traînée nuageuse : PutEventSelectors traînée nuageuse : PutInsightSelectors traînée nuageuse : PutResourcePolicy traînée nuageuse : RegisterOrganizationDelegatedAdmin traînée nuageuse : RestoreEventDataStore traînée nuageuse : SearchSampleQueries traînée nuageuse : StartEventDataStoreIngestion traînée nuageuse : StartImport traînée nuageuse : StartLogging traînée nuageuse : StartQuery traînée nuageuse : StopEventDataStoreIngestion traînée nuageuse : StopImport traînée nuageuse : StopLogging traînée nuageuse : UpdateChannel traînée nuageuse : UpdateDashboard traînée nuageuse : UpdateEventDataStore traînée nuageuse : UpdateTrail  | 
| cloudwatch |  surveillance des nuages : DeleteAlarms surveillance des nuages : DeleteAnomalyDetector surveillance des nuages : DeleteDashboards surveillance des nuages : DeleteInsightRules surveillance des nuages : DeleteMetricStream surveillance des nuages : DescribeAlarmHistory surveillance des nuages : DescribeAlarms surveillance des nuages : DescribeAlarmsForMetric surveillance des nuages : DescribeAnomalyDetectors surveillance des nuages : DescribeInsightRules surveillance des nuages : DisableAlarmActions surveillance des nuages : DisableInsightRules surveillance des nuages : EnableAlarmActions surveillance des nuages : EnableInsightRules surveillance des nuages : GetDashboard surveillance des nuages : GetInsightRuleReport surveillance des nuages : GetMetricStatistics surveillance des nuages : GetMetricStream surveillance des nuages : ListDashboards surveillance des nuages : ListManagedInsightRules surveillance des nuages : ListMetricStreams surveillance des nuages : PutAnomalyDetector surveillance des nuages : PutCompositeAlarm surveillance des nuages : PutDashboard surveillance des nuages : PutInsightRule surveillance des nuages : PutManagedInsightRules surveillance des nuages : PutMetricAlarm surveillance des nuages : PutMetricStream surveillance des nuages : SetAlarmState surveillance des nuages : StartMetricStreams surveillance des nuages : StopMetricStreams  | 
| codeartifact |  artefact de code : AssociateExternalConnection artefact de code : CopyPackageVersions artefact de code : CreateDomain artefact de code : CreateRepository artefact de code : DeleteDomain artefact de code : DeleteDomainPermissionsPolicy artefact de code : DeletePackage artefact de code : DeletePackageVersions artefact de code : DeleteRepository artefact de code : DeleteRepositoryPermissionsPolicy artefact de code : DescribeDomain artefact de code : DescribePackage artefact de code : DescribePackageVersion artefact de code : DescribeRepository artefact de code : DisassociateExternalConnection artefact de code : DisposePackageVersions artefact de code : GetAssociatedPackageGroup artefact de code : GetAuthorizationToken artefact de code : GetDomainPermissionsPolicy artefact de code : GetPackageVersionAsset artefact de code : GetPackageVersionReadme artefact de code : GetRepositoryEndpoint artefact de code : GetRepositoryPermissionsPolicy artefact de code : ListDomains artefact de code : ListPackageGroups artefact de code : ListPackageVersionAssets artefact de code : ListPackageVersionDependencies artefact de code : ListPackageVersions artefact de code : ListPackages artefact de code : ListRepositories artefact de code : ListRepositoriesInDomain artefact de code : PublishPackageVersion artefact de code : PutDomainPermissionsPolicy artefact de code : PutPackageMetadata artefact de code : PutPackageOriginConfiguration artefact de code : PutRepositoryPermissionsPolicy artefact de code : ReadFromRepository artefact de code : UpdatePackageVersionsStatus artefact de code : UpdateRepository  | 
| codedeploy |  déploiement de code : BatchGetApplicationRevisions déploiement de code : BatchGetApplications déploiement de code : BatchGetDeploymentGroups déploiement de code : BatchGetDeploymentInstances déploiement de code : BatchGetDeploymentTargets déploiement de code : BatchGetDeployments déploiement de code : BatchGetOnPremisesInstances déploiement de code : ContinueDeployment déploiement de code : CreateApplication déploiement de code : CreateDeployment déploiement de code : CreateDeploymentConfig déploiement de code : CreateDeploymentGroup déploiement de code : DeleteApplication déploiement de code : DeleteDeploymentConfig déploiement de code : DeleteDeploymentGroup déploiement de code : DeleteGitHubAccountToken déploiement de code : DeleteResourcesByExternalId déploiement de code : DeregisterOnPremisesInstance déploiement de code : GetApplication déploiement de code : GetApplicationRevision déploiement de code : GetDeployment déploiement de code : GetDeploymentConfig déploiement de code : GetDeploymentGroup déploiement de code : GetDeploymentInstance déploiement de code : GetDeploymentTarget déploiement de code : GetOnPremisesInstance déploiement de code : ListApplicationRevisions déploiement de code : ListApplications déploiement de code : ListDeploymentConfigs déploiement de code : ListDeploymentGroups déploiement de code : ListDeploymentInstances déploiement de code : ListDeploymentTargets déploiement de code : ListDeployments déploiement de code : ListGitHubAccountTokenNames déploiement de code : ListOnPremisesInstances déploiement de code : PutLifecycleEventHookExecutionStatus déploiement de code : RegisterApplicationRevision déploiement de code : RegisterOnPremisesInstance déploiement de code : SkipWaitTimeForInstanceTermination déploiement de code : StopDeployment déploiement de code : UpdateApplication déploiement de code : UpdateDeploymentGroup  | 
| codeguru-profiler |  profileur de code : AddNotificationChannels profileur de code : BatchGetFrameMetricData profileur de code : CreateProfilingGroup profileur de code : DeleteProfilingGroup profileur de code : DescribeProfilingGroup profileur de code : GetFindingsReportAccountSummary profileur de code : GetNotificationConfiguration profileur de code : GetPolicy profileur de code : GetProfile profileur de code : GetRecommendations profileur de code : ListFindingsReports profileur de code : ListProfileTimes profileur de code : ListProfilingGroups profileur de code : PutPermission profileur de code : RemoveNotificationChannel profileur de code : RemovePermission profileur de code : SubmitFeedback profileur de code : UpdateProfilingGroup  | 
| codeguru-reviewer |  réviseur de code : AssociateRepository réviseur de code : CreateCodeReview réviseur de code : DescribeCodeReview réviseur de code : DescribeRecommendationFeedback réviseur de code : DescribeRepositoryAssociation réviseur de code : DisassociateRepository réviseur de code : ListCodeReviews réviseur de code : ListRecommendationFeedback réviseur de code : ListRecommendations réviseur de code : ListRepositoryAssociations réviseur de code : PutRecommendationFeedback  | 
| codepipeline |  pipeline de code : AcknowledgeJob pipeline de code : AcknowledgeThirdPartyJob pipeline de code : CreateCustomActionType pipeline de code : CreatePipeline pipeline de code : DeleteCustomActionType pipeline de code : DeletePipeline pipeline de code : DeleteWebhook pipeline de code : DeregisterWebhookWithThirdParty pipeline de code : GetActionType pipeline de code : GetJobDetails pipeline de code : GetPipeline pipeline de code : GetPipelineExecution pipeline de code : GetPipelineState pipeline de code : GetThirdPartyJobDetails pipeline de code : ListActionExecutions pipeline de code : ListActionTypes pipeline de code : ListPipelineExecutions pipeline de code : ListPipelines pipeline de code : ListRuleExecutions pipeline de code : ListRuleTypes pipeline de code : ListWebhooks pipeline de code : OverrideStageCondition pipeline de code : PollForJobs pipeline de code : PollForThirdPartyJobs pipeline de code : PutActionRevision pipeline de code : PutApprovalResult pipeline de code : PutJobFailureResult pipeline de code : PutJobSuccessResult pipeline de code : PutThirdPartyJobFailureResult pipeline de code : PutThirdPartyJobSuccessResult pipeline de code : PutWebhook pipeline de code : RegisterWebhookWithThirdParty pipeline de code : RollbackStage pipeline de code : StartPipelineExecution pipeline de code : StopPipelineExecution pipeline de code : UpdateActionType pipeline de code : UpdatePipeline  | 
| codestar |  codestar : AssociateTeamMember codestar : CreateProject codestar : CreateUserProfile codestar : DeleteProject codestar : DeleteUserProfile codestar : DescribeProject codestar : DescribeUserProfile codestar : DisassociateTeamMember codestar : ListProjects codestar : ListResources codestar : ListTeamMembers codestar : ListUserProfiles codestar : UpdateProject codestar : UpdateTeamMember codestar : UpdateUserProfile  | 
| codestar-notifications |  notifications codestar : CreateNotificationRule notifications codestar : DeleteNotificationRule notifications codestar : DeleteTarget notifications codestar : DescribeNotificationRule notifications codestar : ListEventTypes notifications codestar : ListNotificationRules notifications codestar : ListTargets codestar-notifications:Subscribe codestar-notifications:Unsubscribe notifications codestar : UpdateNotificationRule  | 
| cognito-identity |  identité cognitive : CreateIdentityPool identité cognitive : DeleteIdentities identité cognitive : DeleteIdentityPool identité cognitive : DescribeIdentity identité cognitive : DescribeIdentityPool identité cognitive : GetIdentityPoolRoles identité cognitive : ListIdentities identité cognitive : ListIdentityPools identité cognitive : LookupDeveloperIdentity identité cognitive : MergeDeveloperIdentities identité cognitive : SetIdentityPoolRoles identité cognitive : UnlinkDeveloperIdentity identité cognitive : UpdateIdentityPool  | 
| cognito-idp |  identifiant : AddCustomAttributes identifiant : AdminAddUserToGroup identifiant : AdminConfirmSignUp identifiant : AdminCreateUser identifiant : AdminDeleteUser identifiant : AdminDeleteUserAttributes identifiant : AdminDisableProviderForUser identifiant : AdminDisableUser identifiant : AdminEnableUser identifiant : AdminForgetDevice identifiant : AdminGetDevice identifiant : AdminGetUser identifiant : AdminInitiateAuth identifiant : AdminLinkProviderForUser identifiant : AdminListDevices identifiant : AdminListGroupsForUser identifiant : AdminListUserAuthEvents identifiant : AdminRemoveUserFromGroup identifiant : AdminResetUserPassword identifiant : AdminRespondToAuthChallenge identifiant : AdminSetUser MFAPreference identifiant : AdminSetUserPassword identifiant : AdminSetUserSettings identifiant : AdminUpdateAuthEventFeedback identifiant : AdminUpdateDeviceStatus identifiant : AdminUpdateUserAttributes identifiant : AdminUserGlobalSignOut identifiant : AssociateSoftwareToken identifiant : ChangePassword identifiant : ConfirmDevice identifiant : ConfirmForgotPassword identifiant : ConfirmSignUp identifiant : CreateGroup identifiant : CreateIdentityProvider identifiant : CreateManagedLoginBranding identifiant : CreateResourceServer identifiant : CreateTerms identifiant : CreateUserImportJob identifiant : CreateUserPool identifiant : CreateUserPoolClient identifiant : CreateUserPoolDomain identifiant : DeleteGroup identifiant : DeleteIdentityProvider identifiant : DeleteManagedLoginBranding identifiant : DeleteResourceServer identifiant : DeleteTerms identifiant : DeleteUser identifiant : DeleteUserAttributes identifiant : DeleteUserPool identifiant : DeleteUserPoolClient identifiant : DeleteUserPoolDomain identifiant : DescribeIdentityProvider identifiant : DescribeManagedLoginBranding identifiant : DescribeManagedLoginBrandingByClient identifiant : DescribeResourceServer identifiant : DescribeRiskConfiguration identifiant : DescribeTerms identifiant : DescribeUserImportJob identifiant : DescribeUserPool identifiant : DescribeUserPoolClient identifiant : DescribeUserPoolDomain identifiant : ForgetDevice identifiant : ForgotPassword Cognito-IDP:GET CSVHeader identifiant : GetDevice identifiant : GetGroup identifiant : GetIdentityProviderByIdentifier identifiant : GetLogDeliveryConfiguration identifiant : GetSigningCertificate Cognito-IDP:GET UICustomization identifiant : GetUser identifiant : GetUserAttributeVerificationCode identifiant : GetUserPoolMfaConfig identifiant : GlobalSignOut identifiant : InitiateAuth identifiant : ListDevices identifiant : ListGroups identifiant : ListIdentityProviders identifiant : ListResourceServers identifiant : ListTerms identifiant : ListUserImportJobs identifiant : ListUserPoolClients identifiant : ListUserPools identifiant : ListUsers identifiant : ListUsersInGroup identifiant : ResendConfirmationCode identifiant : RespondToAuthChallenge identifiant : RevokeToken identifiant : SetLogDeliveryConfiguration identifiant : SetRiskConfiguration Cognito-IDP:Set UICustomization identifiant : SetUser MFAPreference identifiant : SetUserPoolMfaConfig identifiant : SetUserSettings identifiant : SignUp identifiant : StartUserImportJob identifiant : StopUserImportJob identifiant : UpdateAuthEventFeedback identifiant : UpdateDeviceStatus identifiant : UpdateGroup identifiant : UpdateIdentityProvider identifiant : UpdateResourceServer identifiant : UpdateTerms identifiant : UpdateUserAttributes identifiant : UpdateUserPool identifiant : UpdateUserPoolClient identifiant : UpdateUserPoolDomain identifiant : VerifySoftwareToken identifiant : VerifyUserAttribute  | 
| cognito-sync |  synchronisation cognitive : BulkPublish synchronisation cognitive : DeleteDataset synchronisation cognitive : DescribeDataset synchronisation cognitive : DescribeIdentityPoolUsage synchronisation cognitive : DescribeIdentityUsage synchronisation cognitive : GetBulkPublishDetails synchronisation cognitive : GetCognitoEvents synchronisation cognitive : GetIdentityPoolConfiguration synchronisation cognitive : ListDatasets synchronisation cognitive : ListIdentityPoolUsage synchronisation cognitive : ListRecords synchronisation cognitive : RegisterDevice synchronisation cognitive : SetCognitoEvents synchronisation cognitive : SetIdentityPoolConfiguration synchronisation cognitive : SubscribeToDataset synchronisation cognitive : UnsubscribeFromDataset synchronisation cognitive : UpdateRecords  | 
| comprehendmedical |  comprehendmedical : V2Job DescribeEntitiesDetection Comprehend Medical : Descrivez le Job ICD10 CMInference Comprehend Medical : Descrivez le Job PHIDetection médecine complète : DescribeRxNormInferenceJob Comprehend Medical : Descrivez le Job SNOMEDCTInference medical complet : V2 DetectEntities comprehendmedical:DetectPHI Comprehend Medical : Infer CM ICD10 médecine complète : InferRxNorm comprehendmedical:InferSNOMEDCT comprehendmedical : V2Jobs ListEntitiesDetection ComprehendMedical ICD10 CMInference : liste des offres d'emploi ComprehendMedical PHIDetection : liste des offres d'emploi médecine complète : ListRxNormInferenceJobs ComprehendMedical SNOMEDCTInference : liste des offres d'emploi comprehendmedical : V2Job StartEntitiesDetection ComprehendMedical ICD10 CMInference : Start Job ComprehendMedical PHIDetection : Start Job médecine complète : StartRxNormInferenceJob ComprehendMedical SNOMEDCTInference : Start Job comprehendmedical : V2Job StopEntitiesDetection ComprehendMedical ICD10 CMInference : Stop Job ComprehendMedical PHIDetection : Stop Job médecine complète : StopRxNormInferenceJob ComprehendMedical SNOMEDCTInference : Stop Job  | 
| compute-optimizer |  optimiseur de calcul : DeleteRecommendationPreferences optimiseur de calcul : DescribeRecommendationExportJobs optimiseur de calcul : ExportAutoScalingGroupRecommendations Compute-Optimizer EBSVolume : recommandations d'exportation Compute-Optimizer : exportation EC2 InstanceRecommendations Compute-Optimizer ECSService : recommandations d'exportation optimiseur de calcul : ExportIdleRecommendations optimiseur de calcul : ExportLambdaFunctionRecommendations optimiseur de calcul : ExportLicenseRecommendations Compute-Optimizer RDSDatabase : recommandations d'exportation Optimiseur informatique : GET EC2 RecommendationProjectedMetrics Optimiseur informatique : GET ECSService RecommendationProjectedMetrics optimiseur de calcul : GetEffectiveRecommendationPreferences optimiseur de calcul : GetEnrollmentStatus optimiseur de calcul : GetEnrollmentStatusesForOrganization Optimiseur informatique : GET RDSDatabase RecommendationProjectedMetrics optimiseur de calcul : GetRecommendationPreferences optimiseur de calcul : GetRecommendationSummaries optimiseur de calcul : PutRecommendationPreferences optimiseur de calcul : UpdateEnrollmentStatus  | 
| config |  configuration : BatchGetResourceConfig configuration : DeleteAggregationAuthorization configuration : DeleteConfigRule configuration : DeleteConfigurationAggregator configuration : DeleteConfigurationRecorder configuration : DeleteConformancePack configuration : DeleteDeliveryChannel configuration : DeleteEvaluationResults configuration : DeleteOrganizationConfigRule configuration : DeleteOrganizationConformancePack configuration : DeletePendingAggregationRequest configuration : DeleteRemediationConfiguration configuration : DeleteRemediationExceptions configuration : DeleteResourceConfig configuration : DeleteRetentionConfiguration configuration : DeleteStoredQuery configuration : DeliverConfigSnapshot configuration : DescribeAggregateComplianceByConfigRules configuration : DescribeAggregateComplianceByConformancePacks configuration : DescribeAggregationAuthorizations configuration : DescribeComplianceByConfigRule configuration : DescribeComplianceByResource configuration : DescribeConfigRuleEvaluationStatus configuration : DescribeConfigRules configuration : DescribeConfigurationAggregatorSourcesStatus configuration : DescribeConfigurationAggregators configuration : DescribeConfigurationRecorderStatus configuration : DescribeConfigurationRecorders configuration : DescribeConformancePackCompliance configuration : DescribeConformancePackStatus configuration : DescribeConformancePacks configuration : DescribeDeliveryChannelStatus configuration : DescribeDeliveryChannels configuration : DescribeOrganizationConfigRuleStatuses configuration : DescribeOrganizationConfigRules configuration : DescribeOrganizationConformancePackStatuses configuration : DescribeOrganizationConformancePacks configuration : DescribePendingAggregationRequests configuration : DescribeRemediationConfigurations configuration : DescribeRemediationExceptions configuration : DescribeRemediationExecutionStatus configuration : DescribeRetentionConfigurations configuration : GetComplianceDetailsByConfigRule configuration : GetComplianceDetailsByResource configuration : GetComplianceSummaryByConfigRule configuration : GetComplianceSummaryByResourceType configuration : GetConformancePackComplianceDetails configuration : GetConformancePackComplianceSummary configuration : GetCustomRulePolicy configuration : GetDiscoveredResourceCounts configuration : GetOrganizationConfigRuleDetailedStatus configuration : GetOrganizationConformancePackDetailedStatus configuration : GetOrganizationCustomRulePolicy configuration : GetResourceConfigHistory configuration : GetResourceEvaluationSummary configuration : GetStoredQuery configuration : ListConfigurationRecorders configuration : ListConformancePackComplianceScores configuration : ListDiscoveredResources configuration : ListResourceEvaluations configuration : ListStoredQueries configuration : PutConfigRule configuration : PutConfigurationAggregator configuration : PutConfigurationRecorder configuration : PutConformancePack configuration : PutDeliveryChannel configuration : PutEvaluations configuration : PutExternalEvaluation configuration : PutOrganizationConfigRule configuration : PutOrganizationConformancePack configuration : PutRemediationConfigurations configuration : PutRemediationExceptions configuration : PutResourceConfig configuration : PutRetentionConfiguration configuration : PutStoredQuery configuration : SelectResourceConfig configuration : StartConfigRulesEvaluation configuration : StartConfigurationRecorder configuration : StartRemediationExecution configuration : StartResourceEvaluation configuration : StopConfigurationRecorder  | 
| connexion |  connecter : ActivateEvaluationForm connecter : AssociateAnalyticsDataSet connecter : AssociateApprovedOrigin connecter : AssociateBot connecter : AssociateContactWithUser connecter : AssociateDefaultVocabulary connecter : AssociateEmailAddressAlias connecter : AssociateFlow connecter : AssociateInstanceStorageConfig connecter : AssociateLambdaFunction connecter : AssociateLexBot connecter : AssociatePhoneNumberContactFlow connecter : AssociateQueueQuickConnects connecter : AssociateRoutingProfileQueues connecter : AssociateSecurityKey connecter : AssociateUserProficiencies connecter : BatchAssociateAnalyticsDataSet connecter : BatchCreateDataTableValue connecter : BatchDeleteDataTableValue connecter : BatchDescribeDataTableValue connecter : BatchDisassociateAnalyticsDataSet connecter : BatchGetFlowAssociation connecter : BatchPutContact connecter : BatchUpdateDataTableValue connecter : ClaimPhoneNumber connecter : CreateAgentStatus connecter : CreateContact connecter : CreateContactFlow connecter : CreateContactFlowModule connecter : CreateContactFlowModuleAlias connecter : CreateContactFlowModuleVersion connecter : CreateContactFlowVersion connecter : CreateDataTable connecter : CreateDataTableAttribute connecter : CreateEmailAddress connecter : CreateEvaluationForm connecter : CreateHoursOfOperation connecter : CreateInstance connecter : CreateIntegrationAssociation connecter : CreateParticipant connecter : CreatePersistentContactAssociation connecter : CreatePredefinedAttribute connecter : CreatePrompt connecter : CreatePushNotificationRegistration connecter : CreateQueue connecter : CreateQuickConnect connecter : CreateRoutingProfile connecter : CreateRule connecter : CreateSecurityProfile connecter : CreateTaskTemplate connecter : CreateTrafficDistributionGroup connecter : CreateUseCase connecter : CreateUser connecter : CreateUserHierarchyGroup connecter : CreateView connecter : CreateViewVersion connecter : CreateVocabulary connecter : CreateWorkspace connecter : DeactivateEvaluationForm connecter : DeleteContactEvaluation connecter : DeleteContactFlow connecter : DeleteContactFlowModule connecter : DeleteContactFlowModuleAlias connecter : DeleteContactFlowModuleVersion connecter : DeleteContactFlowVersion connecter : DeleteDataTable connecter : DeleteDataTableAttribute connecter : DeleteEmailAddress connecter : DeleteEvaluationForm connecter : DeleteHoursOfOperation connecter : DeleteHoursOfOperationOverride connecter : DeleteInstance connecter : DeleteIntegrationAssociation connecter : DeletePredefinedAttribute connecter : DeletePrompt connecter : DeletePushNotificationRegistration connecter : DeleteQueue connecter : DeleteQuickConnect connecter : DeleteRoutingProfile connecter : DeleteRule connecter : DeleteSecurityProfile connecter : DeleteTaskTemplate connecter : DeleteTrafficDistributionGroup connecter : DeleteUseCase connecter : DeleteUser connecter : DeleteUserHierarchyGroup connecter : DeleteView connecter : DeleteVocabulary connecter : DeleteWorkspace connecter : DeleteWorkspaceMedia connecter : DescribeAuthenticationProfile connecter : DescribeContactFlowModuleAlias connecter : DescribeDataTableAttribute connecter : DescribeHoursOfOperationOverride connecter : DescribeInstanceAttribute connecter : DescribeInstanceStorageConfig connecter : DescribePhoneNumber connecter : DescribeRule connecter : DescribeTrafficDistributionGroup connecter : DescribeUserHierarchyStructure connecter : DescribeVocabulary connecter : DisassociateAnalyticsDataSet connecter : DisassociateApprovedOrigin connecter : DisassociateBot connecter : DisassociateEmailAddressAlias connecter : DisassociateFlow connecter : DisassociateInstanceStorageConfig connecter : DisassociateLambdaFunction connecter : DisassociateLexBot connecter : DisassociatePhoneNumberContactFlow connecter : DisassociateQueueQuickConnects connecter : DisassociateRoutingProfileQueues connecter : DisassociateSecurityKey connecter : DisassociateUserProficiencies connecter : DismissUserContact connecter : EvaluateDataTableValues connecter : GetContactAttributes connecter : GetContactMetrics connecter : GetCurrentMetricData connecter : GetCurrentUserData connecter : GetEffectiveHoursOfOperations connecter : GetFederationToken connecter : GetFlowAssociation connecter : GetMetricData connecter : GetMetricData V2 connecter : GetPromptFile connecter : GetTaskTemplate connecter : GetTrafficDistribution connecter : ImportPhoneNumber connecter : ImportWorkspaceMedia connecter : ListAnalyticsDataAssociations connecter : ListAnalyticsDataLakeDataSets connecter : ListApprovedOrigins connecter : ListAssociatedContacts connecter : ListAuthenticationProfiles connecter : ListBots connecter : ListContactEvaluations connecter : ListContactFlowModuleAliases connecter : ListContactFlowModuleVersions connecter : ListContactFlowModules connecter : ListContactFlowVersions connecter : ListContactFlows connecter : ListContactReferences connecter : ListDataTableAttributes connecter : ListDataTablePrimaryValues connecter : ListDataTableValues connecter : ListDataTables connecter : ListDefaultVocabularies connecter : ListEvaluationFormVersions connecter : ListEvaluationForms connecter : ListFlowAssociations connecter : ListHoursOfOperations connecter : ListInstanceAttributes connecter : ListInstanceStorageConfigs connecter : ListIntegrationAssociations connecter : ListLambdaFunctions connecter : ListLexBots connecter : ListPhoneNumbers connecter : ListPhoneNumbers V2 connecter : ListPredefinedAttributes connecter : ListPrompts connecter : ListQueueQuickConnects connecter : ListQueues connecter : ListQuickConnects connecter : ListRealtimeContactAnalysisSegments V2 connecter : ListRoutingProfileManualAssignmentQueues connecter : ListRoutingProfileQueues connecter : ListRoutingProfiles connecter : ListRules connecter : ListSecurityKeys connecter : ListSecurityProfileApplications connecter : ListSecurityProfileFlowModules connecter : ListSecurityProfilePermissions connecter : ListSecurityProfiles connecter : ListTaskTemplates connecter : ListTrafficDistributionGroups connecter : ListUseCases connecter : ListUserHierarchyGroups connecter : ListUsers connecter : ListViewVersions connecter : ListViews connecter : ListWorkspaceMedia connecter : ListWorkspacePages connecter : ListWorkspaces connecter : MonitorContact connecter : PauseContact connecter : PutUserStatus connecter : ReleasePhoneNumber connecter : ReplicateInstance connecter : ResumeContact connecter : ResumeContactRecording connecter : SearchAgentStatuses connecter : SearchAvailablePhoneNumbers connecter : SearchContactEvaluations connecter : SearchContactFlowModules connecter : SearchContactFlows connecter : SearchContacts connecter : SearchDataTables connecter : SearchEmailAddresses connecter : SearchEvaluationForms connecter : SearchHoursOfOperations connecter : SearchPredefinedAttributes connecter : SearchPrompts connecter : SearchQueues connecter : SearchQuickConnects connecter : SearchRoutingProfiles connecter : SearchSecurityProfiles connecter : SearchUserHierarchyGroups connecter : SearchViews connecter : SearchVocabularies connecter : SearchWorkspaceAssociations connecter : SearchWorkspaces connecter : SendChatIntegrationEvent connecter : SendOutboundEmail connecter : StartChatContact connecter : StartContactEvaluation connecter : StartContactMediaProcessing connecter : StartContactRecording connecter : StartContactStreaming connecter : StartEmailContact connecter : StartOutboundChatContact connecter : StartOutboundEmailContact connecter : StartOutboundVoiceContact connecter : StartScreenSharing connecter : StartTaskContact connecter : StartWeb RTCContact connecter : StopContact connecter : StopContactMediaProcessing connecter : StopContactRecording connecter : StopContactStreaming connecter : SubmitContactEvaluation connecter : SuspendContactRecording connecter : TransferContact connecter : UpdateAgentStatus connecter : UpdateAuthenticationProfile connecter : UpdateContact connecter : UpdateContactAttributes connecter : UpdateContactEvaluation connecter : UpdateContactFlowContent connecter : UpdateContactFlowMetadata connecter : UpdateContactFlowModuleAlias connecter : UpdateContactFlowModuleContent connecter : UpdateContactFlowModuleMetadata connecter : UpdateContactFlowName connecter : UpdateContactRoutingData connecter : UpdateContactSchedule connecter : UpdateDataTableAttribute connecter : UpdateDataTableMetadata connecter : UpdateDataTablePrimaryValues connecter : UpdateEmailAddressMetadata connecter : UpdateEvaluationForm connecter : UpdateHoursOfOperation connecter : UpdateHoursOfOperationOverride connecter : UpdateInstanceAttribute connecter : UpdateInstanceStorageConfig connecter : UpdateParticipantAuthentication connecter : UpdateParticipantRoleConfig connecter : UpdatePhoneNumber connecter : UpdatePhoneNumberMetadata connecter : UpdatePredefinedAttribute connecter : UpdatePrompt connecter : UpdateQueueHoursOfOperation connecter : UpdateQueueMaxContacts connecter : UpdateQueueName connecter : UpdateQueueOutboundCallerConfig connecter : UpdateQueueOutboundEmailConfig connecter : UpdateQueueStatus connecter : UpdateQuickConnectConfig connecter : UpdateQuickConnectName connecter : UpdateRoutingProfileAgentAvailabilityTimer connecter : UpdateRoutingProfileConcurrency connecter : UpdateRoutingProfileDefaultOutboundQueue connecter : UpdateRoutingProfileName connecter : UpdateRoutingProfileQueues connecter : UpdateRule connecter : UpdateSecurityProfile connecter : UpdateTaskTemplate connecter : UpdateTrafficDistribution connecter : UpdateUserHierarchy connecter : UpdateUserHierarchyGroupName connecter : UpdateUserHierarchyStructure connecter : UpdateUserIdentityInfo connecter : UpdateUserPhoneConfig connecter : UpdateUserProficiencies connecter : UpdateUserRoutingProfile connecter : UpdateUserSecurityProfiles connecter : UpdateViewContent connecter : UpdateViewMetadata connecter : UpdateWorkspaceMetadata connecter : UpdateWorkspaceTheme connecter : UpdateWorkspaceVisibility  | 
| cur |  cœur : DeleteReportDefinition cœur : DescribeReportDefinitions cœur : ModifyReportDefinition cœur : PutReportDefinition  | 
| databrew |  base de données : BatchDeleteRecipeVersion base de données : CreateDataset base de données : CreateProfileJob base de données : CreateProject base de données : CreateRecipe base de données : CreateRecipeJob base de données : CreateRuleset base de données : CreateSchedule base de données : DeleteDataset base de données : DeleteJob base de données : DeleteProject base de données : DeleteRecipeVersion base de données : DeleteRuleset base de données : DeleteSchedule base de données : DescribeDataset base de données : DescribeJob base de données : DescribeJobRun base de données : DescribeProject base de données : DescribeRecipe base de données : DescribeRuleset base de données : DescribeSchedule base de données : ListDatasets base de données : ListJobRuns base de données : ListJobs base de données : ListProjects base de données : ListRecipeVersions base de données : ListRecipes base de données : ListRulesets base de données : ListSchedules base de données : PublishRecipe base de données : SendProjectSessionAction base de données : StartJobRun base de données : StartProjectSession base de données : StopJobRun base de données : UpdateDataset base de données : UpdateProfileJob base de données : UpdateProject base de données : UpdateRecipe base de données : UpdateRecipeJob base de données : UpdateRuleset base de données : UpdateSchedule  | 
| dataexchange |  échange de données : AcceptDataGrant échange de données : CancelJob échange de données : CreateDataGrant échange de données : CreateDataSet échange de données : CreateEventAction échange de données : CreateJob échange de données : CreateRevision échange de données : DeleteAsset échange de données : DeleteDataGrant échange de données : DeleteEventAction échange de données : DeleteRevision échange de données : GetDataGrant échange de données : GetEventAction échange de données : GetJob échange de données : GetReceivedDataGrant échange de données : ListDataGrants échange de données : ListDataSetRevisions échange de données : ListDataSets échange de données : ListEventActions échange de données : ListJobs échange de données : ListReceivedDataGrants échange de données : ListRevisionAssets échange de données : RevokeRevision échange de données : SendDataSetNotification échange de données : StartJob échange de données : UpdateAsset échange de données : UpdateDataSet échange de données : UpdateEventAction échange de données : UpdateRevision  | 
| datapipeline |  pipeline de données : ActivatePipeline pipeline de données : CreatePipeline pipeline de données : DeactivatePipeline pipeline de données : DeletePipeline pipeline de données : DescribeObjects pipeline de données : DescribePipelines pipeline de données : EvaluateExpression pipeline de données : GetPipelineDefinition pipeline de données : ListPipelines pipeline de données : PollForTask pipeline de données : PutPipelineDefinition pipeline de données : QueryObjects pipeline de données : ReportTaskProgress pipeline de données : ReportTaskRunnerHeartbeat pipeline de données : SetStatus pipeline de données : SetTaskStatus pipeline de données : ValidatePipelineDefinition  | 
| dax |  télécopieur : CreateCluster télécopieur : DecreaseReplicationFactor télécopieur : DeleteCluster télécopieur : DeleteParameterGroup télécopieur : DeleteSubnetGroup télécopieur : DescribeClusters télécopieur : DescribeDefaultParameters télécopieur : DescribeEvents télécopieur : DescribeParameterGroups télécopieur : DescribeParameters télécopieur : DescribeSubnetGroups télécopieur : IncreaseReplicationFactor télécopieur : RebootNode télécopieur : UpdateCluster télécopieur : UpdateParameterGroup télécopieur : UpdateSubnetGroup  | 
| devicefarm |  ferme d'appareils : CreateDevicePool ferme d'appareils : CreateInstanceProfile ferme d'appareils : CreateNetworkProfile ferme d'appareils : CreateProject ferme d'appareils : CreateRemoteAccessSession ferme d'appareils : CreateTestGridProject ferme d'appareils : CreateTestGridUrl ferme d'appareils : CreateUpload Device Farm : créer VPCEConfiguration ferme d'appareils : DeleteDevicePool ferme d'appareils : DeleteInstanceProfile ferme d'appareils : DeleteNetworkProfile ferme d'appareils : DeleteProject ferme d'appareils : DeleteRemoteAccessSession ferme d'appareils : DeleteRun ferme d'appareils : DeleteTestGridProject ferme d'appareils : DeleteUpload Device Farm : Supprimer VPCEConfiguration ferme d'appareils : GetAccountSettings ferme d'appareils : GetDevice ferme d'appareils : GetDeviceInstance ferme d'appareils : GetDevicePool ferme d'appareils : GetDevicePoolCompatibility ferme d'appareils : GetInstanceProfile ferme d'appareils : GetJob ferme d'appareils : GetNetworkProfile ferme d'appareils : GetOfferingStatus ferme d'appareils : GetProject ferme d'appareils : GetRemoteAccessSession ferme d'appareils : GetRun ferme d'appareils : GetSuite ferme d'appareils : GetTest ferme d'appareils : GetTestGridProject ferme d'appareils : GetTestGridSession ferme d'appareils : GetUpload Ferme de périphériques : GET VPCEConfiguration ferme d'appareils : ListArtifacts ferme d'appareils : ListDeviceInstances ferme d'appareils : ListDevicePools ferme d'appareils : ListDevices ferme d'appareils : ListInstanceProfiles ferme d'appareils : ListJobs ferme d'appareils : ListNetworkProfiles ferme d'appareils : ListOfferingPromotions ferme d'appareils : ListOfferingTransactions ferme d'appareils : ListOfferings ferme d'appareils : ListProjects ferme d'appareils : ListRemoteAccessSessions ferme d'appareils : ListRuns ferme d'appareils : ListSamples ferme d'appareils : ListSuites ferme d'appareils : ListTestGridProjects ferme d'appareils : ListTestGridSessionActions ferme d'appareils : ListTestGridSessionArtifacts ferme d'appareils : ListTestGridSessions ferme d'appareils : ListTests ferme d'appareils : ListUniqueProblems ferme d'appareils : ListUploads Device Farm : liste VPCEConfigurations ferme d'appareils : PurchaseOffering ferme d'appareils : RenewOffering ferme d'appareils : ScheduleRun ferme d'appareils : StopJob ferme d'appareils : StopRemoteAccessSession ferme d'appareils : StopRun ferme d'appareils : UpdateDeviceInstance ferme d'appareils : UpdateDevicePool ferme d'appareils : UpdateInstanceProfile ferme d'appareils : UpdateNetworkProfile ferme d'appareils : UpdateProject ferme d'appareils : UpdateTestGridProject ferme d'appareils : UpdateUpload Device Farm : mise à jour VPCEConfiguration  | 
| devops-guru |  gourou de DevOps : AddNotificationChannel gourou de DevOps : DeleteInsight gourou de DevOps : DescribeAccountHealth gourou de DevOps : DescribeAccountOverview gourou de DevOps : DescribeAnomaly gourou de DevOps : DescribeEventSourcesConfig gourou de DevOps : DescribeFeedback gourou de DevOps : DescribeInsight gourou de DevOps : DescribeOrganizationHealth gourou de DevOps : DescribeOrganizationOverview gourou de DevOps : DescribeOrganizationResourceCollectionHealth gourou de DevOps : DescribeResourceCollectionHealth gourou de DevOps : DescribeServiceIntegration gourou de DevOps : GetCostEstimation gourou de DevOps : GetResourceCollection gourou de DevOps : ListAnomaliesForInsight gourou de DevOps : ListAnomalousLogGroups gourou de DevOps : ListEvents gourou de DevOps : ListInsights gourou de DevOps : ListMonitoredResources gourou de DevOps : ListNotificationChannels gourou de DevOps : ListOrganizationInsights gourou de DevOps : ListRecommendations gourou de DevOps : PutFeedback gourou de DevOps : RemoveNotificationChannel gourou de DevOps : SearchInsights gourou de DevOps : SearchOrganizationInsights gourou de DevOps : StartCostEstimation gourou de DevOps : UpdateEventSourcesConfig gourou de DevOps : UpdateResourceCollection gourou de DevOps : UpdateServiceIntegration  | 
| directconnect |  connexion directe : AcceptDirectConnectGatewayAssociationProposal connexion directe : AllocateConnectionOnInterconnect connexion directe : AllocateHostedConnection connexion directe : AllocatePrivateVirtualInterface connexion directe : AllocatePublicVirtualInterface connexion directe : AllocateTransitVirtualInterface connexion directe : AssociateConnectionWithLag connexion directe : AssociateHostedConnection connexion directe : AssociateMacSecKey connexion directe : AssociateVirtualInterface connexion directe : ConfirmConnection connexion directe : ConfirmCustomerAgreement connexion directe : ConfirmPrivateVirtualInterface connexion directe : ConfirmPublicVirtualInterface connexion directe : ConfirmTransitVirtualInterface Connexion directe : créer BGPPeer connexion directe : CreateConnection connexion directe : CreateDirectConnectGateway connexion directe : CreateDirectConnectGatewayAssociation connexion directe : CreateDirectConnectGatewayAssociationProposal connexion directe : CreateInterconnect connexion directe : CreateLag connexion directe : CreatePrivateVirtualInterface connexion directe : CreatePublicVirtualInterface connexion directe : CreateTransitVirtualInterface Connexion directe : Supprimer BGPPeer connexion directe : DeleteConnection connexion directe : DeleteDirectConnectGateway connexion directe : DeleteDirectConnectGatewayAssociation connexion directe : DeleteDirectConnectGatewayAssociationProposal connexion directe : DeleteInterconnect connexion directe : DeleteLag connexion directe : DeleteVirtualInterface connexion directe : DescribeConnectionLoa connexion directe : DescribeConnections connexion directe : DescribeConnectionsOnInterconnect connexion directe : DescribeCustomerMetadata connexion directe : DescribeDirectConnectGatewayAssociationProposals connexion directe : DescribeDirectConnectGatewayAssociations connexion directe : DescribeDirectConnectGatewayAttachments connexion directe : DescribeDirectConnectGateways connexion directe : DescribeHostedConnections connexion directe : DescribeInterconnectLoa connexion directe : DescribeInterconnects connexion directe : DescribeLags connexion directe : DescribeLoa connexion directe : DescribeLocations connexion directe : DescribeRouterConfiguration connexion directe : DescribeVirtualGateways connexion directe : DescribeVirtualInterfaces connexion directe : DisassociateConnectionFromLag connexion directe : DisassociateMacSecKey connexion directe : ListVirtualInterfaceTestHistory connexion directe : StartBgpFailoverTest connexion directe : StopBgpFailoverTest connexion directe : UpdateConnection connexion directe : UpdateDirectConnectGateway connexion directe : UpdateDirectConnectGatewayAssociation connexion directe : UpdateLag connexion directe : UpdateVirtualInterfaceAttributes  | 
| dlm |  DLM : CreateLifecyclePolicy DLM : DeleteLifecyclePolicy DLM : GetLifecyclePolicies DLM : GetLifecyclePolicy DLM : UpdateLifecyclePolicy  | 
| dms |  dms : ApplyPendingMaintenanceAction dms : AssociateExtensionPack dms : BatchStartRecommendations dms : CancelMetadataModelCreation dms : CancelReplicationTaskAssessmentRun dms : CreateDataProvider dms : CreateEndpoint dms : CreateEventSubscription dms : CreateInstanceProfile dms : CreateMigrationProject dms : CreateReplicationConfig dms : CreateReplicationInstance dms : CreateReplicationSubnetGroup dms : CreateReplicationTask dms : DeleteCertificate dms : DeleteConnection dms : DeleteDataMigration dms : DeleteDataProvider dms : DeleteEndpoint dms : DeleteEventSubscription dms : DeleteFleetAdvisorCollector dms : DeleteFleetAdvisorDatabases dms : DeleteInstanceProfile dms : DeleteMigrationProject dms : DeleteReplicationConfig dms : DeleteReplicationInstance dms : DeleteReplicationSubnetGroup dms : DeleteReplicationTask dms : DeleteReplicationTaskAssessmentRun dms : DescribeAccountAttributes dms : DescribeApplicableIndividualAssessments dms : DescribeCertificates dms : DescribeConnections dms : DescribeDataMigrations dms : DescribeEndpointSettings dms : DescribeEndpointTypes dms : DescribeEndpoints dms : DescribeEngineVersions dms : DescribeEventCategories dms : DescribeEventSubscriptions dms : DescribeEvents dms : DescribeFleetAdvisorCollectors dms : DescribeFleetAdvisorDatabases dms : DescribeFleetAdvisorLsaAnalysis dms : DescribeFleetAdvisorSchemaObjectSummary dms : DescribeFleetAdvisorSchemas dms : DescribeMetadataModel dms : DescribeMetadataModelChildren dms : DescribeMetadataModelCreations dms : DescribeMetadataModelImports dms : DescribeOrderableReplicationInstances dms : DescribePendingMaintenanceActions dms : DescribeRecommendationLimitations dms : DescribeRecommendations dms : DescribeRefreshSchemasStatus dms : DescribeReplicationConfigs dms : DescribeReplicationInstanceTaskLogs dms : DescribeReplicationInstances dms : DescribeReplicationSubnetGroups dms : DescribeReplicationTableStatistics dms : DescribeReplicationTaskAssessmentResults dms : DescribeReplicationTaskAssessmentRuns dms : DescribeReplicationTaskIndividualAssessments dms : DescribeReplicationTasks dms : DescribeReplications dms : DescribeSchemas dms : DescribeTableStatistics dms : ExportMetadataModelAssessment dms : ImportCertificate dms : ListDataProviders dms : ListExtensionPacks dms : ListInstanceProfiles dms : ListMetadataModelAssessments dms : ListMetadataModelConversions dms : ListMetadataModelExports dms : ListMigrationProjects dms : ModifyDataMigration dms : ModifyEndpoint dms : ModifyEventSubscription dms : ModifyReplicationConfig dms : ModifyReplicationInstance dms : ModifyReplicationSubnetGroup dms : ModifyReplicationTask dms : MoveReplicationTask dms : RebootReplicationInstance dms : RefreshSchemas dms : ReloadReplicationTables dms : ReloadTables dms : RunFleetAdvisorLsaAnalysis dms : StartMetadataModelAssessment dms : StartMetadataModelConversion dms : StartMetadataModelCreation dms : StartMetadataModelExportAsScripts dms : StartMetadataModelExportToTarget dms : StartRecommendations dms : StartReplication dms : StartReplicationTask dms : StartReplicationTaskAssessment dms : StopDataMigration dms : StopReplicationTask dms : TestConnection dms : UpdateConversionConfiguration dms : UpdateDataProvider dms : UpdateInstanceProfile dms : UpdateMigrationProject dms : UpdateSubscriptionsToEventBridge  | 
| docdb-elastic |  docdb-elastic : ApplyPendingMaintenanceAction docdb-elastic : CopyClusterSnapshot docdb-elastic : DeleteCluster docdb-elastic : DeleteClusterSnapshot docdb-elastic : GetCluster docdb-elastic : GetClusterSnapshot docdb-elastic : GetPendingMaintenanceAction docdb-elastic : ListClusterSnapshots docdb-elastic : ListClusters docdb-elastic : ListPendingMaintenanceActions docdb-elastic : RestoreClusterFromSnapshot docdb-elastic : StartCluster docdb-elastic : StopCluster docdb-elastic : UpdateCluster  | 
| dynamodb |  dynamodb : AssociateTableReplica dynamodb : CreateBackup dynamodb : CreateGlobalTable dynamodb : CreateTable dynamodb : DeleteBackup dynamodb : DeleteTable dynamodb : DescribeBackup dynamodb : DescribeContinuousBackups dynamodb : DescribeContributorInsights dynamodb : DescribeEndpoints dynamodb : DescribeExport dynamodb : DescribeGlobalTable dynamodb : DescribeGlobalTableSettings dynamodb : DescribeImport dynamodb : DescribeKinesisStreamingDestination dynamodb : DescribeLimits dynamodb : DescribeStream dynamodb : DescribeTable dynamodb : DescribeTableReplicaAutoScaling dynamodb : DescribeTimeToLive dynamodb : DisableKinesisStreamingDestination dynamodb : EnableKinesisStreamingDestination dynamodb : ExportTableToPointInTime dynamodb : GetResourcePolicy dynamodb : ImportTable dynamodb : ListBackups dynamodb : ListContributorInsights dynamodb : ListExports dynamodb : ListGlobalTables dynamodb : ListImports dynamodb : ListStreams dynamodb : ListTables dynamodb : ReadDataForReplication dynamodb : ReplicateSettings dynamodb : RestoreTableFromBackup dynamodb : RestoreTableToPointInTime dynamodb : UpdateContinuousBackups dynamodb : UpdateContributorInsights dynamodb : UpdateGlobalTable dynamodb : UpdateGlobalTableSettings dynamodb : UpdateKinesisStreamingDestination dynamodb : UpdateTable dynamodb : UpdateTableReplicaAutoScaling dynamodb : UpdateTimeToLive dynamodb : WriteDataForReplication  | 
| ebs |  ebs : CompleteSnapshot ebs : StartSnapshot  | 
| ec2 |  EC2 : AcceptAddressTransfer EC2 : AcceptCapacityReservationBillingOwnership EC2 : AcceptReservedInstancesExchangeQuote EC2 : AcceptTransitGatewayMulticastDomainAssociations EC2 : AcceptTransitGatewayPeeringAttachment EC2 : AcceptTransitGatewayVpcAttachment EC2 : AcceptVpcEndpointConnections EC2 : AcceptVpcPeeringConnection EC2 : AdvertiseByoipCidr EC2 : AllocateAddress EC2 : AllocateHosts EC2 : AllocateIpamPoolCidr EC2 : ApplySecurityGroupsToClientVpnTargetNetwork ec2 : 6 Adresses AssignIpv EC2 : AssignPrivateIpAddresses EC2 : AssignPrivateNatGatewayAddress EC2 : AssociateAddress EC2 : AssociateCapacityReservationBillingOwner EC2 : AssociateClientVpnTargetNetwork EC2 : AssociateDhcpOptions EC2 : AssociateEnclaveCertificateIamRole EC2 : AssociateIamInstanceProfile EC2 : AssociateInstanceEventWindow EC2 : AssociateIpamByoasn EC2 : AssociateIpamResourceDiscovery EC2 : AssociateNatGatewayAddress EC2 : AssociateRouteServer EC2 : AssociateRouteTable EC2 : AssociateSecurityGroupVpc EC2 : AssociateSubnetCidrBlock EC2 : AssociateTransitGatewayMulticastDomain EC2 : AssociateTransitGatewayPolicyTable EC2 : AssociateTransitGatewayRouteTable EC2 : AssociateTrunkInterface EC2 : AssociateVpcCidrBlock EC2 : AttachClassicLinkVpc EC2 : AttachInternetGateway EC2 : AttachNetworkInterface EC2 : AttachVerifiedAccessTrustProvider EC2 : AttachVolume EC2 : AttachVpnGateway EC2 : AuthorizeClientVpnIngress EC2 : AuthorizeSecurityGroupEgress EC2 : AuthorizeSecurityGroupIngress EC2 : BundleInstance EC2 : CancelBundleTask EC2 : CancelCapacityReservation EC2 : CancelCapacityReservationFleets EC2 : CancelConversionTask EC2 : CancelDeclarativePoliciesReport EC2 : CancelExportTask EC2 : CancelImageLaunchPermission EC2 : CancelImportTask EC2 : CancelReservedInstancesListing EC2 : CancelSpotFleetRequests EC2 : CancelSpotInstanceRequests EC2 : ConfirmProductInstance EC2 : CopyFpgaImage EC2 : CopyImage EC2 : CopySnapshot EC2 : CopyVolumes EC2 : CreateCapacityManagerDataExport EC2 : CreateCapacityReservation EC2 : CreateCapacityReservationBySplitting EC2 : CreateCapacityReservationFleet EC2 : CreateCarrierGateway EC2 : CreateClientVpnEndpoint EC2 : CreateClientVpnRoute EC2 : CreateCoipCidr EC2 : CreateCoipPool EC2 : CreateCustomerGateway EC2 : CreateDefaultSubnet EC2 : CreateDefaultVpc EC2 : CreateDelegateMacVolumeOwnershipTask EC2 : CreateDhcpOptions EC2 : CreateEgressOnlyInternetGateway EC2 : CreateFleet EC2 : CreateFlowLogs EC2 : CreateFpgaImage EC2 : CreateImage EC2 : CreateImageUsageReport EC2 : CreateInstanceConnectEndpoint EC2 : CreateInstanceEventWindow EC2 : CreateInstanceExportTask EC2 : CreateInternetGateway EC2 : CreateInterruptibleCapacityReservationAllocation EC2 : CreateIpam EC2 : CreateIpamExternalResourceVerificationToken EC2 : CreateIpamPolicy EC2 : CreateIpamPool EC2 : CreateIpamPrefixListResolver EC2 : CreateIpamPrefixListResolverTarget EC2 : CreateIpamResourceDiscovery EC2 : CreateIpamScope EC2 : CreateKeyPair EC2 : CreateLaunchTemplateVersion EC2 : CreateLocalGatewayRoute EC2 : CreateLocalGatewayRouteTable EC2 : CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation EC2 : CreateLocalGatewayRouteTableVpcAssociation EC2 : CreateLocalGatewayVirtualInterface EC2 : CreateLocalGatewayVirtualInterfaceGroup EC2 : CreateMacSystemIntegrityProtectionModificationTask EC2 : CreateManagedPrefixList EC2 : CreateNatGateway EC2 : CreateNetworkAcl EC2 : CreateNetworkAclEntry EC2 : CreateNetworkInsightsAccessScope EC2 : CreateNetworkInsightsPath EC2 : CreateNetworkInterface EC2 : CreateNetworkInterfacePermission EC2 : CreatePlacementGroup ec2 : 4 piscines CreatePublicIpv EC2 : CreateReplaceRootVolumeTask EC2 : CreateReservedInstancesListing EC2 : CreateRestoreImageTask EC2 : CreateRoute EC2 : CreateRouteServer EC2 : CreateRouteServerEndpoint EC2 : CreateRouteServerPeer EC2 : CreateRouteTable EC2 : CreateSecurityGroup EC2 : CreateSnapshots EC2 : CreateSpotDatafeedSubscription EC2 : CreateStoreImageTask EC2 : CreateSubnet EC2 : CreateSubnetCidrReservation EC2 : CreateTrafficMirrorFilter EC2 : CreateTrafficMirrorFilterRule EC2 : CreateTrafficMirrorSession EC2 : CreateTrafficMirrorTarget EC2 : CreateTransitGateway EC2 : CreateTransitGatewayConnect EC2 : CreateTransitGatewayConnectPeer EC2 : CreateTransitGatewayMeteringPolicy EC2 : CreateTransitGatewayMeteringPolicyEntry EC2 : CreateTransitGatewayMulticastDomain EC2 : CreateTransitGatewayPeeringAttachment EC2 : CreateTransitGatewayPolicyTable EC2 : CreateTransitGatewayPrefixListReference EC2 : CreateTransitGatewayRoute EC2 : CreateTransitGatewayRouteTable EC2 : CreateTransitGatewayRouteTableAnnouncement EC2 : CreateTransitGatewayVpcAttachment EC2 : CreateVerifiedAccessEndpoint EC2 : CreateVerifiedAccessGroup EC2 : CreateVerifiedAccessInstance EC2 : CreateVerifiedAccessTrustProvider EC2 : CreateVolume EC2 : CreateVpc EC2 : CreateVpcBlockPublicAccessExclusion EC2 : CreateVpcEncryptionControl EC2 : CreateVpcEndpoint EC2 : CreateVpcEndpointConnectionNotification EC2 : CreateVpcEndpointServiceConfiguration EC2 : CreateVpcPeeringConnection EC2 : CreateVpnConcentrator EC2 : CreateVpnConnection EC2 : CreateVpnConnectionRoute EC2 : CreateVpnGateway EC2 : DeleteCapacityManagerDataExport EC2 : DeleteCarrierGateway EC2 : DeleteClientVpnEndpoint EC2 : DeleteClientVpnRoute EC2 : DeleteCoipCidr EC2 : DeleteCoipPool EC2 : DeleteCustomerGateway EC2 : DeleteDhcpOptions EC2 : DeleteEgressOnlyInternetGateway EC2 : DeleteFleets EC2 : DeleteFlowLogs EC2 : DeleteFpgaImage EC2 : DeleteImageUsageReport EC2 : DeleteInstanceConnectEndpoint EC2 : DeleteInstanceEventWindow EC2 : DeleteInternetGateway EC2 : DeleteIpam EC2 : DeleteIpamExternalResourceVerificationToken EC2 : DeleteIpamPolicy EC2 : DeleteIpamPool EC2 : DeleteIpamPrefixListResolver EC2 : DeleteIpamPrefixListResolverTarget EC2 : DeleteIpamResourceDiscovery EC2 : DeleteIpamScope EC2 : DeleteKeyPair EC2 : DeleteLaunchTemplate EC2 : DeleteLaunchTemplateVersions EC2 : DeleteLocalGatewayRoute EC2 : DeleteLocalGatewayRouteTable EC2 : DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation EC2 : DeleteLocalGatewayRouteTableVpcAssociation EC2 : DeleteLocalGatewayVirtualInterface EC2 : DeleteLocalGatewayVirtualInterfaceGroup EC2 : DeleteManagedPrefixList EC2 : DeleteNatGateway EC2 : DeleteNetworkAcl EC2 : DeleteNetworkAclEntry EC2 : DeleteNetworkInsightsAccessScope EC2 : DeleteNetworkInsightsAccessScopeAnalysis EC2 : DeleteNetworkInsightsAnalysis EC2 : DeleteNetworkInsightsPath EC2 : DeleteNetworkInterface EC2 : DeleteNetworkInterfacePermission EC2 : DeletePlacementGroup ec2 : 4 piscines DeletePublicIpv EC2 : DeleteQueuedReservedInstances EC2 : DeleteRoute EC2 : DeleteRouteServer EC2 : DeleteRouteServerEndpoint EC2 : DeleteRouteServerPeer EC2 : DeleteRouteTable EC2 : DeleteSecurityGroup EC2 : DeleteSpotDatafeedSubscription EC2 : DeleteSubnet EC2 : DeleteSubnetCidrReservation EC2 : DeleteTrafficMirrorFilter EC2 : DeleteTrafficMirrorFilterRule EC2 : DeleteTrafficMirrorSession EC2 : DeleteTrafficMirrorTarget EC2 : DeleteTransitGateway EC2 : DeleteTransitGatewayConnect EC2 : DeleteTransitGatewayConnectPeer EC2 : DeleteTransitGatewayMeteringPolicy EC2 : DeleteTransitGatewayMeteringPolicyEntry EC2 : DeleteTransitGatewayMulticastDomain EC2 : DeleteTransitGatewayPeeringAttachment EC2 : DeleteTransitGatewayPolicyTable EC2 : DeleteTransitGatewayPrefixListReference EC2 : DeleteTransitGatewayRoute EC2 : DeleteTransitGatewayRouteTable EC2 : DeleteTransitGatewayRouteTableAnnouncement EC2 : DeleteTransitGatewayVpcAttachment EC2 : DeleteVerifiedAccessEndpoint EC2 : DeleteVerifiedAccessGroup EC2 : DeleteVerifiedAccessInstance EC2 : DeleteVerifiedAccessTrustProvider EC2 : DeleteVolume EC2 : DeleteVpc EC2 : DeleteVpcBlockPublicAccessExclusion EC2 : DeleteVpcEncryptionControl EC2 : DeleteVpcEndpointConnectionNotifications EC2 : DeleteVpcEndpointServiceConfigurations EC2 : DeleteVpcEndpoints EC2 : DeleteVpcPeeringConnection EC2 : DeleteVpnConcentrator EC2 : DeleteVpnConnection EC2 : DeleteVpnConnectionRoute EC2 : DeleteVpnGateway EC2 : DeprovisionByoipCidr EC2 : DeprovisionIpamByoasn EC2 : DeprovisionIpamPoolCidr EC2 : 4 DeprovisionPublicIpv PoolCidr EC2 : DeregisterImage EC2 : DeregisterInstanceEventNotificationAttributes EC2 : DeregisterTransitGatewayMulticastGroupMembers EC2 : DeregisterTransitGatewayMulticastGroupSources EC2 : DescribeAccountAttributes EC2 : DescribeAddressTransfers EC2 : DescribeAddresses EC2 : DescribeAddressesAttribute EC2 : DescribeAggregateIdFormat EC2 : DescribeAvailabilityZones EC2 : DescribeAwsNetworkPerformanceMetricSubscriptions EC2 : DescribeBundleTasks EC2 : DescribeByoipCidrs EC2 : DescribeCapacityBlockExtensionHistory EC2 : DescribeCapacityBlockExtensionOfferings EC2 : DescribeCapacityBlockStatus EC2 : DescribeCapacityBlocks EC2 : DescribeCapacityManagerDataExports EC2 : DescribeCapacityReservationBillingRequests EC2 : DescribeCapacityReservationFleets EC2 : DescribeCapacityReservationTopology EC2 : DescribeCapacityReservations EC2 : DescribeCarrierGateways EC2 : DescribeClassicLinkInstances EC2 : DescribeClientVpnAuthorizationRules EC2 : DescribeClientVpnConnections EC2 : DescribeClientVpnEndpoints EC2 : DescribeClientVpnRoutes EC2 : DescribeClientVpnTargetNetworks EC2 : DescribeCoipPools EC2 : DescribeConversionTasks EC2 : DescribeCustomerGateways EC2 : DescribeDeclarativePoliciesReports EC2 : DescribeDhcpOptions EC2 : DescribeEgressOnlyInternetGateways EC2 : DescribeElasticGpus EC2 : DescribeExportImageTasks EC2 : DescribeExportTasks EC2 : DescribeFastLaunchImages EC2 : DescribeFastSnapshotRestores EC2 : DescribeFleetHistory EC2 : DescribeFleetInstances EC2 : DescribeFleets EC2 : DescribeFlowLogs EC2 : DescribeFpgaImageAttribute EC2 : DescribeFpgaImages EC2 : DescribeHostReservationOfferings EC2 : DescribeHostReservations EC2 : DescribeHosts EC2 : DescribeIamInstanceProfileAssociations EC2 : DescribeIdFormat EC2 : DescribeIdentityIdFormat EC2 : DescribeImageAttribute EC2 : DescribeImageReferences EC2 : DescribeImageUsageReportEntries EC2 : DescribeImageUsageReports EC2 : DescribeImportImageTasks EC2 : DescribeImportSnapshotTasks EC2 : DescribeInstanceConnectEndpoints EC2 : DescribeInstanceCreditSpecifications EC2 : DescribeInstanceEventNotificationAttributes EC2 : DescribeInstanceEventWindows EC2 : DescribeInstanceImageMetadata EC2 : DescribeInstanceSqlHaHistoryStates EC2 : DescribeInstanceSqlHaStates EC2 : DescribeInstanceTopology EC2 : DescribeInstanceTypes EC2 : DescribeInternetGateways EC2 : DescribeIpamByoasn EC2 : DescribeIpamExternalResourceVerificationTokens EC2 : DescribeIpamPolicies EC2 : DescribeIpamPools EC2 : DescribeIpamPrefixListResolverTargets EC2 : DescribeIpamPrefixListResolvers EC2 : DescribeIpamResourceDiscoveries EC2 : DescribeIpamResourceDiscoveryAssociations EC2 : DescribeIpamScopes EC2 : DescribeIpams ec2 : 6 piscines DescribeIpv EC2 : DescribeKeyPairs EC2 : DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations EC2 : DescribeLocalGatewayRouteTableVpcAssociations EC2 : DescribeLocalGatewayRouteTables EC2 : DescribeLocalGatewayVirtualInterfaceGroups EC2 : DescribeLocalGatewayVirtualInterfaces EC2 : DescribeLocalGateways EC2 : DescribeLockedSnapshots EC2 : DescribeMacHosts EC2 : DescribeMacModificationTasks EC2 : DescribeManagedPrefixLists EC2 : DescribeMovingAddresses EC2 : DescribeNatGateways EC2 : DescribeNetworkAcls EC2 : DescribeNetworkInsightsAccessScopeAnalyses EC2 : DescribeNetworkInsightsAccessScopes EC2 : DescribeNetworkInsightsAnalyses EC2 : DescribeNetworkInsightsPaths EC2 : DescribeNetworkInterfaceAttribute EC2 : DescribeNetworkInterfacePermissions EC2 : DescribeNetworkInterfaces EC2 : DescribeOutpostLags EC2 : DescribePlacementGroups EC2 : DescribePrefixLists EC2 : DescribePrincipalIdFormat ec2 : 4 piscines DescribePublicIpv EC2 : DescribeRegions EC2 : DescribeReplaceRootVolumeTasks EC2 : DescribeReservedInstances EC2 : DescribeReservedInstancesListings EC2 : DescribeReservedInstancesModifications EC2 : DescribeReservedInstancesOfferings EC2 : DescribeRouteServerEndpoints EC2 : DescribeRouteServerPeers EC2 : DescribeRouteServers EC2 : DescribeRouteTables EC2 : DescribeScheduledInstanceAvailability EC2 : DescribeScheduledInstances EC2 : DescribeSecurityGroupReferences EC2 : DescribeSecurityGroupRules EC2 : DescribeSecurityGroupVpcAssociations EC2 : DescribeSecurityGroups EC2 : DescribeServiceLinkVirtualInterfaces EC2 : DescribeSnapshotAttribute EC2 : DescribeSnapshotTierStatus EC2 : DescribeSpotDatafeedSubscription EC2 : DescribeSpotFleetInstances EC2 : DescribeSpotFleetRequestHistory EC2 : DescribeSpotFleetRequests EC2 : DescribeSpotInstanceRequests EC2 : DescribeSpotPriceHistory EC2 : DescribeStaleSecurityGroups EC2 : DescribeStoreImageTasks EC2 : DescribeTrafficMirrorFilterRules EC2 : DescribeTrafficMirrorFilters EC2 : DescribeTrafficMirrorSessions EC2 : DescribeTrafficMirrorTargets EC2 : DescribeTransitGatewayAttachments EC2 : DescribeTransitGatewayConnectPeers EC2 : DescribeTransitGatewayConnects EC2 : DescribeTransitGatewayMeteringPolicies EC2 : DescribeTransitGatewayMulticastDomains EC2 : DescribeTransitGatewayPeeringAttachments EC2 : DescribeTransitGatewayPolicyTables EC2 : DescribeTransitGatewayRouteTableAnnouncements EC2 : DescribeTransitGatewayRouteTables EC2 : DescribeTransitGatewayVpcAttachments EC2 : DescribeTransitGateways EC2 : DescribeTrunkInterfaceAssociations EC2 : DescribeVerifiedAccessEndpoints EC2 : DescribeVerifiedAccessGroups EC2 : DescribeVerifiedAccessInstanceLoggingConfigurations EC2 : DescribeVerifiedAccessInstances EC2 : DescribeVerifiedAccessTrustProviders EC2 : DescribeVolumeAttribute EC2 : DescribeVolumeStatus EC2 : DescribeVolumes EC2 : DescribeVolumesModifications EC2 : DescribeVpcAttribute EC2 : DescribeVpcBlockPublicAccessExclusions EC2 : DescribeVpcBlockPublicAccessOptions EC2 : DescribeVpcClassicLink EC2 : DescribeVpcClassicLinkDnsSupport EC2 : DescribeVpcEncryptionControls EC2 : DescribeVpcEndpointAssociations EC2 : DescribeVpcEndpointConnectionNotifications EC2 : DescribeVpcEndpointConnections EC2 : DescribeVpcEndpointServiceConfigurations EC2 : DescribeVpcEndpointServicePermissions EC2 : DescribeVpcEndpointServices EC2 : DescribeVpcEndpoints EC2 : DescribeVpcPeeringConnections EC2 : DescribeVpcs EC2 : DescribeVpnConcentrators EC2 : DescribeVpnConnections EC2 : DescribeVpnGateways EC2 : DetachClassicLinkVpc EC2 : DetachInternetGateway EC2 : DetachNetworkInterface EC2 : DetachVerifiedAccessTrustProvider EC2 : DetachVolume EC2 : DetachVpnGateway EC2 : DisableAddressTransfer EC2 : DisableAllowedImagesSettings EC2 : DisableAwsNetworkPerformanceMetricSubscription EC2 : DisableCapacityManager EC2 : DisableEbsEncryptionByDefault EC2 : DisableFastLaunch EC2 : DisableFastSnapshotRestores EC2 : DisableImage EC2 : DisableImageBlockPublicAccess EC2 : DisableImageDeprecation EC2 : DisableImageDeregistrationProtection EC2 : DisableInstanceSqlHaStandbyDetections EC2 : DisableIpamOrganizationAdminAccount EC2 : DisableIpamPolicy EC2 : DisableRouteServerPropagation EC2 : DisableSerialConsoleAccess EC2 : DisableSnapshotBlockPublicAccess EC2 : DisableTransitGatewayRouteTablePropagation EC2 : DisableVgwRoutePropagation EC2 : DisableVpcClassicLink EC2 : DisableVpcClassicLinkDnsSupport EC2 : DisassociateAddress EC2 : DisassociateCapacityReservationBillingOwner EC2 : DisassociateClientVpnTargetNetwork EC2 : DisassociateEnclaveCertificateIamRole EC2 : DisassociateIamInstanceProfile EC2 : DisassociateInstanceEventWindow EC2 : DisassociateIpamByoasn EC2 : DisassociateIpamResourceDiscovery EC2 : DisassociateNatGatewayAddress EC2 : DisassociateRouteServer EC2 : DisassociateRouteTable EC2 : DisassociateSecurityGroupVpc EC2 : DisassociateSubnetCidrBlock EC2 : DisassociateTransitGatewayMulticastDomain EC2 : DisassociateTransitGatewayPolicyTable EC2 : DisassociateTransitGatewayRouteTable EC2 : DisassociateTrunkInterface EC2 : DisassociateVpcCidrBlock EC2 : EnableAddressTransfer EC2 : EnableAllowedImagesSettings EC2 : EnableAwsNetworkPerformanceMetricSubscription EC2 : EnableCapacityManager EC2 : EnableEbsEncryptionByDefault EC2 : EnableFastLaunch EC2 : EnableFastSnapshotRestores EC2 : EnableImage EC2 : EnableImageBlockPublicAccess EC2 : EnableImageDeprecation EC2 : EnableImageDeregistrationProtection EC2 : EnableInstanceSqlHaStandbyDetections EC2 : EnableIpamOrganizationAdminAccount EC2 : EnableIpamPolicy EC2 : EnableReachabilityAnalyzerOrganizationSharing EC2 : EnableRouteServerPropagation EC2 : EnableSerialConsoleAccess EC2 : EnableSnapshotBlockPublicAccess EC2 : EnableTransitGatewayRouteTablePropagation EC2 : EnableVgwRoutePropagation ec2 : E/S EnableVolume EC2 : EnableVpcClassicLink EC2 : EnableVpcClassicLinkDnsSupport EC2 : ExportClientVpnClientCertificateRevocationList EC2 : ExportClientVpnClientConfiguration EC2 : ExportImage EC2 : ExportTransitGatewayRoutes EC2 : ExportVerifiedAccessInstanceClientConfiguration EC2 : GetActiveVpnTunnelStatus EC2 : GetAllowedImagesSettings EC2 : GetAssociatedEnclaveCertificateIamRoles EC2 : 6 GetAssociatedIpv PoolCidrs EC2 : GetAwsNetworkPerformanceData EC2 : GetCapacityManagerAttributes EC2 : GetCapacityManagerMetricData EC2 : GetCapacityManagerMetricDimensions EC2 : GetCapacityReservationUsage EC2 : GetCoipPoolUsage EC2 : GetConsoleOutput EC2 : GetConsoleScreenshot EC2 : GetDeclarativePoliciesReportSummary EC2 : GetDefaultCreditSpecification EC2 : GetEbsDefaultKmsKeyId EC2 : GetEbsEncryptionByDefault EC2 : GetEnabledIpamPolicy EC2 : GetFlowLogsIntegrationTemplate EC2 : GetGroupsForCapacityReservation EC2 : GetHostReservationPurchasePreview EC2 : GetImageAncestry EC2 : GetImageBlockPublicAccessState EC2 : GetInstanceMetadataDefaults EC2 : GetInstanceTpmEkPub EC2 : GetInstanceTypesFromInstanceRequirements EC2 : GetInstanceUefiData EC2 : GetIpamAddressHistory EC2 : GetIpamDiscoveredAccounts EC2 : GetIpamDiscoveredPublicAddresses EC2 : GetIpamDiscoveredResourceCidrs EC2 : GetIpamPolicyAllocationRules EC2 : GetIpamPolicyOrganizationTargets EC2 : GetIpamPoolAllocations EC2 : GetIpamPoolCidrs EC2 : GetIpamPrefixListResolverRules EC2 : GetIpamPrefixListResolverVersionEntries EC2 : GetIpamPrefixListResolverVersions EC2 : GetIpamResourceCidrs EC2 : GetLaunchTemplateData EC2 : GetManagedPrefixListAssociations EC2 : GetManagedPrefixListEntries EC2 : GetNetworkInsightsAccessScopeAnalysisFindings EC2 : GetNetworkInsightsAccessScopeContent EC2 : GetPasswordData EC2 : GetReservedInstancesExchangeQuote EC2 : GetRouteServerAssociations EC2 : GetRouteServerPropagations EC2 : GetRouteServerRoutingDatabase EC2 : GetSecurityGroupsForVpc EC2 : GetSerialConsoleAccessStatus EC2 : GetSnapshotBlockPublicAccessState EC2 : GetSpotPlacementScores EC2 : GetSubnetCidrReservations EC2 : GetTransitGatewayAttachmentPropagations EC2 : GetTransitGatewayMeteringPolicyEntries EC2 : GetTransitGatewayMulticastDomainAssociations EC2 : GetTransitGatewayPolicyTableAssociations EC2 : GetTransitGatewayPolicyTableEntries EC2 : GetTransitGatewayPrefixListReferences EC2 : GetTransitGatewayRouteTableAssociations EC2 : GetTransitGatewayRouteTablePropagations EC2 : GetVerifiedAccessEndpointPolicy EC2 : GetVerifiedAccessEndpointTargets EC2 : GetVerifiedAccessGroupPolicy EC2 : GetVpcResourcesBlockingEncryptionEnforcement EC2 : GetVpnConnectionDeviceSampleConfiguration EC2 : GetVpnConnectionDeviceTypes EC2 : GetVpnTunnelReplacementStatus EC2 : ImportClientVpnClientCertificateRevocationList EC2 : ImportImage EC2 : ImportInstance EC2 : ImportKeyPair EC2 : ImportSnapshot EC2 : ImportVolume EC2 : InjectVolume IOLatency EC2 : ListImagesInRecycleBin EC2 : ListSnapshotsInRecycleBin EC2 : ListVolumesInRecycleBin EC2 : LockSnapshot EC2 : ModifyAddressAttribute EC2 : ModifyAvailabilityZoneGroup EC2 : ModifyCapacityReservation EC2 : ModifyCapacityReservationFleet EC2 : ModifyClientVpnEndpoint EC2 : ModifyDefaultCreditSpecification EC2 : ModifyEbsDefaultKmsKeyId EC2 : ModifyFleet EC2 : ModifyFpgaImageAttribute EC2 : ModifyHosts EC2 : ModifyIdFormat EC2 : ModifyIdentityIdFormat EC2 : ModifyImageAttribute EC2 : ModifyInstanceAttribute EC2 : ModifyInstanceCapacityReservationAttributes EC2 : ModifyInstanceConnectEndpoint EC2 : ModifyInstanceCpuOptions EC2 : ModifyInstanceCreditSpecification EC2 : ModifyInstanceEventStartTime EC2 : ModifyInstanceEventWindow EC2 : ModifyInstanceMaintenanceOptions EC2 : ModifyInstanceMetadataDefaults EC2 : ModifyInstanceMetadataOptions EC2 : ModifyInstanceNetworkPerformanceOptions EC2 : ModifyInstancePlacement EC2 : ModifyIpam EC2 : ModifyIpamPolicyAllocationRules EC2 : ModifyIpamPool EC2 : ModifyIpamPrefixListResolver EC2 : ModifyIpamPrefixListResolverTarget EC2 : ModifyIpamResourceCidr EC2 : ModifyIpamResourceDiscovery EC2 : ModifyIpamScope EC2 : ModifyLaunchTemplate EC2 : ModifyLocalGatewayRoute EC2 : ModifyManagedPrefixList EC2 : ModifyNetworkInterfaceAttribute EC2 : ModifyPrivateDnsNameOptions EC2 : ModifyPublicIpDnsNameOptions EC2 : ModifyReservedInstances EC2 : ModifyRouteServer EC2 : ModifySecurityGroupRules EC2 : ModifySnapshotAttribute EC2 : ModifySnapshotTier EC2 : ModifySpotFleetRequest EC2 : ModifySubnetAttribute EC2 : ModifyTrafficMirrorFilterNetworkServices EC2 : ModifyTrafficMirrorFilterRule EC2 : ModifyTrafficMirrorSession EC2 : ModifyTransitGateway EC2 : ModifyTransitGatewayMeteringPolicy EC2 : ModifyTransitGatewayPrefixListReference EC2 : ModifyTransitGatewayVpcAttachment EC2 : ModifyVerifiedAccessEndpoint EC2 : ModifyVerifiedAccessEndpointPolicy EC2 : ModifyVerifiedAccessGroup EC2 : ModifyVerifiedAccessGroupPolicy EC2 : ModifyVerifiedAccessInstance EC2 : ModifyVerifiedAccessInstanceLoggingConfiguration EC2 : ModifyVerifiedAccessTrustProvider EC2 : ModifyVolume EC2 : ModifyVolumeAttribute EC2 : ModifyVpcAttribute EC2 : ModifyVpcBlockPublicAccessExclusion EC2 : ModifyVpcBlockPublicAccessOptions EC2 : ModifyVpcEncryptionControl EC2 : ModifyVpcEndpoint EC2 : ModifyVpcEndpointConnectionNotification EC2 : ModifyVpcEndpointServiceConfiguration EC2 : ModifyVpcEndpointServicePayerResponsibility EC2 : ModifyVpcEndpointServicePermissions EC2 : ModifyVpcPeeringConnectionOptions EC2 : ModifyVpcTenancy EC2 : ModifyVpnConnection EC2 : ModifyVpnConnectionOptions EC2 : ModifyVpnTunnelCertificate EC2 : ModifyVpnTunnelOptions EC2 : MonitorInstances EC2 : MoveAddressToVpc EC2 : MoveByoipCidrToIpam EC2 : MoveCapacityReservationInstances EC2 : ProvisionByoipCidr EC2 : ProvisionIpamByoasn EC2 : ProvisionIpamPoolCidr EC2 : 4 ProvisionPublicIpv PoolCidr EC2 : PurchaseCapacityBlockExtension EC2 : PurchaseHostReservation EC2 : PurchaseReservedInstancesOffering EC2 : PurchaseScheduledInstances EC2 : RebootInstances EC2 : RegisterImage EC2 : RegisterInstanceEventNotificationAttributes EC2 : RegisterTransitGatewayMulticastGroupMembers EC2 : RegisterTransitGatewayMulticastGroupSources EC2 : RejectCapacityReservationBillingOwnership EC2 : RejectTransitGatewayMulticastDomainAssociations EC2 : RejectTransitGatewayPeeringAttachment EC2 : RejectTransitGatewayVpcAttachment EC2 : RejectVpcEndpointConnections EC2 : RejectVpcPeeringConnection EC2 : ReleaseAddress EC2 : ReleaseHosts EC2 : ReleaseIpamPoolAllocation EC2 : ReplaceIamInstanceProfileAssociation EC2 : ReplaceImageCriteriaInAllowedImagesSettings EC2 : ReplaceNetworkAclAssociation EC2 : ReplaceNetworkAclEntry EC2 : ReplaceRoute EC2 : ReplaceRouteTableAssociation EC2 : ReplaceTransitGatewayRoute EC2 : ReplaceVpnTunnel EC2 : ReportInstanceStatus EC2 : RequestSpotFleet EC2 : RequestSpotInstances EC2 : ResetAddressAttribute EC2 : ResetEbsDefaultKmsKeyId EC2 : ResetFpgaImageAttribute EC2 : ResetImageAttribute EC2 : ResetInstanceAttribute EC2 : ResetNetworkInterfaceAttribute EC2 : ResetSnapshotAttribute EC2 : RestoreAddressToClassic EC2 : RestoreImageFromRecycleBin EC2 : RestoreManagedPrefixListVersion EC2 : RestoreSnapshotFromRecycleBin EC2 : RestoreSnapshotTier EC2 : RestoreVolumeFromRecycleBin EC2 : RevokeClientVpnIngress EC2 : RevokeSecurityGroupEgress EC2 : RevokeSecurityGroupIngress EC2 : RunInstances EC2 : RunScheduledInstances EC2 : SearchLocalGatewayRoutes EC2 : SearchTransitGatewayMulticastGroups EC2 : SearchTransitGatewayRoutes EC2 : SendDiagnosticInterrupt EC2 : StartDeclarativePoliciesReport EC2 : StartInstances EC2 : StartNetworkInsightsAccessScopeAnalysis EC2 : StartNetworkInsightsAnalysis EC2 : StartVpcEndpointServicePrivateDnsVerification EC2 : TerminateClientVpnConnections ec2 : 6 Adresses UnassignIpv EC2 : UnassignPrivateIpAddresses EC2 : UnassignPrivateNatGatewayAddress EC2 : UnlockSnapshot EC2 : UnmonitorInstances EC2 : UpdateCapacityManagerOrganizationsAccess EC2 : UpdateInterruptibleCapacityReservationAllocation EC2 : UpdateSecurityGroupRuleDescriptionsEgress EC2 : UpdateSecurityGroupRuleDescriptionsIngress EC2 : WithdrawByoipCidr  | 
| ecr |  ecr : BatchCheckLayerAvailability ecr : BatchDeleteImage ecr : BatchGetImage ecr : BatchGetRepositoryScanningConfiguration ecr : CompleteLayerUpload ecr : CreatePullThroughCacheRule ecr : CreateRepositoryCreationTemplate ecr : DeleteLifecyclePolicy ecr : DeletePullThroughCacheRule ecr : DeleteRegistryPolicy ecr : DeleteRepository ecr : DeleteRepositoryCreationTemplate ecr : DeleteRepositoryPolicy ecr : DeleteSigningConfiguration ecr : DescribeImageReplicationStatus ecr : DescribeImageScanFindings ecr : DescribeImages ecr : DescribePullThroughCacheRules ecr : DescribeRegistry ecr : DescribeRepositories ecr : DescribeRepositoryCreationTemplates ecr : GetAccountSetting ecr : GetAuthorizationToken ecr : GetDownloadUrlForLayer ecr : GetLifecyclePolicy ecr : GetLifecyclePolicyPreview ecr : GetRegistryPolicy ecr : GetRegistryScanningConfiguration ecr : GetRepositoryPolicy ecr : GetSigningConfiguration ecr : InitiateLayerUpload ecr : ListImages ecr : ListPullTimeUpdateExclusions ecr : PutAccountSetting ecr : PutImage ecr : PutImageScanningConfiguration ecr : PutRegistryPolicy ecr : PutRegistryScanningConfiguration ecr : PutReplicationConfiguration ecr : StartImageScan ecr : StartLifecyclePolicyPreview ecr : UpdatePullThroughCacheRule ecr : UpdateRepositoryCreationTemplate ecr : UploadLayerPart ecr : ValidatePullThroughCacheRule  | 
| ecr-public |  ecr-public : BatchCheckLayerAvailability ecr-public : BatchDeleteImage ecr-public : CompleteLayerUpload ecr-public : CreateRepository ecr-public : DeleteRepository ecr-public : DeleteRepositoryPolicy ecr-public : DescribeImages ecr-public : DescribeRegistries ecr-public : DescribeRepositories ecr-public : GetAuthorizationToken ecr-public : GetRegistryCatalogData ecr-public : GetRepositoryCatalogData ecr-public : GetRepositoryPolicy ecr-public : InitiateLayerUpload ecr-public : PutImage ecr-public : PutRegistryCatalogData ecr-public : PutRepositoryCatalogData ecr-public : SetRepositoryPolicy ecr-public : UploadLayerPart  | 
| ecs |  ecs : CreateCapacityProvider ecs : CreateCluster ecs : CreateService ecs : CreateTaskSet ecs : DeleteAccountSetting ecs : DeleteAttributes ecs : DeleteCapacityProvider ecs : DeleteCluster ecs : DeleteExpressGatewayService ecs : DeleteService ecs : DeleteTaskDefinitions ecs : DeleteTaskSet ecs : DeregisterContainerInstance ecs : DeregisterTaskDefinition ecs : DescribeCapacityProviders ecs : DescribeClusters ecs : DescribeContainerInstances ecs : DescribeExpressGatewayService ecs : DescribeServiceDeployments ecs : DescribeServiceRevisions ecs : DescribeServices ecs : DescribeTaskDefinition ecs : DescribeTaskSets ecs : DescribeTasks ecs : DiscoverPollEndpoint ecs : ExecuteCommand ecs : GetTaskProtection ecs : ListAccountSettings ecs : ListAttributes ecs : ListClusters ecs : ListContainerInstances ecs : ListServiceDeployments ecs : ListServices ecs : ListServicesByNamespace ecs : ListTaskDefinitionFamilies ecs : ListTaskDefinitions ecs : ListTasks ecs : PutAccountSetting ecs : PutAccountSettingDefault ecs : PutAttributes ecs : PutClusterCapacityProviders ecs : RegisterContainerInstance ecs : RunTask ecs : StartTask ecs : StopServiceDeployment ecs : StopTask ecs : SubmitAttachmentStateChanges ecs : SubmitContainerStateChange ecs : SubmitTaskStateChange ecs : UpdateCapacityProvider ecs : UpdateCluster ecs : UpdateClusterSettings ecs : UpdateContainerAgent ecs : UpdateContainerInstancesState ecs : UpdateExpressGatewayService ecs : UpdateService ecs : UpdateServicePrimaryTaskSet ecs : UpdateTaskProtection ecs : UpdateTaskSet  | 
| eks |  Eks : AssociateAccessPolicy Eks : AssociateEncryptionConfig Eks : AssociateIdentityProviderConfig Eks : CreateAccessEntry Eks : CreateAddon Eks : CreateCluster Eks : CreateEksAnywhereSubscription Eks : CreateFargateProfile Eks : CreateNodegroup Eks : DeleteAccessEntry Eks : DeleteAddon Eks : DeleteCapability Eks : DeleteCluster Eks : DeleteEksAnywhereSubscription Eks : DeleteFargateProfile Eks : DeleteNodegroup Eks : DeletePodIdentityAssociation Eks : DeregisterCluster Eks : DescribeAccessEntry Eks : DescribeAddon Eks : DescribeAddonConfiguration Eks : DescribeAddonVersions Eks : DescribeCapability Eks : DescribeCluster Eks : DescribeClusterVersions Eks : DescribeEksAnywhereSubscription Eks : DescribeFargateProfile Eks : DescribeIdentityProviderConfig Eks : DescribeInsight Eks : DescribeInsightsRefresh Eks : DescribeNodegroup Eks : DescribePodIdentityAssociation Eks : DescribeUpdate Eks : DisassociateAccessPolicy Eks : DisassociateIdentityProviderConfig Eks : ListAccessEntries Eks : ListAccessPolicies Eks : ListAddons Eks : ListAssociatedAccessPolicies Eks : ListCapabilities Eks : ListClusters Eks : ListEksAnywhereSubscriptions Eks : ListFargateProfiles Eks : ListIdentityProviderConfigs Eks : ListInsights Eks : ListNodegroups Eks : ListPodIdentityAssociations Eks : ListUpdates Eks : RegisterCluster Eks : StartInsightsRefresh Eks : UpdateAccessEntry Eks : UpdateAddon Eks : UpdateCapability Eks : UpdateClusterConfig Eks : UpdateClusterVersion Eks : UpdateEksAnywhereSubscription Eks : UpdateNodegroupConfig Eks : UpdateNodegroupVersion Eks : UpdatePodIdentityAssociation  | 
| elasticache |  Cache élastique : AuthorizeCacheSecurityGroupIngress Cache élastique : BatchApplyUpdateAction Cache élastique : BatchStopUpdateAction Cache élastique : CompleteMigration Cache élastique : CopyServerlessCacheSnapshot Cache élastique : CopySnapshot Cache élastique : CreateCacheCluster Cache élastique : CreateCacheParameterGroup Cache élastique : CreateCacheSecurityGroup Cache élastique : CreateCacheSubnetGroup Cache élastique : CreateGlobalReplicationGroup Cache élastique : CreateReplicationGroup Cache élastique : CreateServerlessCache Cache élastique : CreateServerlessCacheSnapshot Cache élastique : CreateSnapshot Cache élastique : CreateUser Cache élastique : CreateUserGroup Cache élastique : DecreaseNodeGroupsInGlobalReplicationGroup Cache élastique : DecreaseReplicaCount Cache élastique : DeleteCacheCluster Cache élastique : DeleteCacheParameterGroup Cache élastique : DeleteCacheSecurityGroup Cache élastique : DeleteCacheSubnetGroup Cache élastique : DeleteGlobalReplicationGroup Cache élastique : DeleteReplicationGroup Cache élastique : DeleteServerlessCache Cache élastique : DeleteServerlessCacheSnapshot Cache élastique : DeleteSnapshot Cache élastique : DeleteUser Cache élastique : DeleteUserGroup Cache élastique : DescribeCacheClusters Cache élastique : DescribeCacheEngineVersions Cache élastique : DescribeCacheParameterGroups Cache élastique : DescribeCacheParameters Cache élastique : DescribeCacheSecurityGroups Cache élastique : DescribeCacheSubnetGroups Cache élastique : DescribeEngineDefaultParameters Cache élastique : DescribeEvents Cache élastique : DescribeGlobalReplicationGroups Cache élastique : DescribeReplicationGroups Cache élastique : DescribeReservedCacheNodes Cache élastique : DescribeReservedCacheNodesOfferings Cache élastique : DescribeServerlessCacheSnapshots Cache élastique : DescribeServerlessCaches Cache élastique : DescribeServiceUpdates Cache élastique : DescribeSnapshots Cache élastique : DescribeUpdateActions Cache élastique : DescribeUserGroups Cache élastique : DescribeUsers Cache élastique : DisassociateGlobalReplicationGroup Cache élastique : ExportServerlessCacheSnapshot Cache élastique : FailoverGlobalReplicationGroup Cache élastique : IncreaseNodeGroupsInGlobalReplicationGroup Cache élastique : IncreaseReplicaCount Cache élastique : ListAllowedNodeTypeModifications Cache élastique : ModifyCacheCluster Cache élastique : ModifyCacheParameterGroup Cache élastique : ModifyCacheSubnetGroup Cache élastique : ModifyGlobalReplicationGroup Cache élastique : ModifyReplicationGroup Cache élastique : ModifyReplicationGroupShardConfiguration Cache élastique : ModifyServerlessCache Cache élastique : ModifyUser Cache élastique : ModifyUserGroup Cache élastique : PurchaseReservedCacheNodesOffering Cache élastique : RebalanceSlotsInGlobalReplicationGroup Cache élastique : RebootCacheCluster Cache élastique : ResetCacheParameterGroup Cache élastique : RevokeCacheSecurityGroupIngress Cache élastique : StartMigration Cache élastique : TestFailover Cache élastique : TestMigration  | 
| elasticbeanstalk |  tige de haricot élastique : AbortEnvironmentUpdate tige de haricot élastique : ApplyEnvironmentManagedAction tige de haricot élastique : AssociateEnvironmentOperationsRole Haricot élastique : vérifier DNSAvailability tige de haricot élastique : ComposeEnvironments tige de haricot élastique : CreateApplication tige de haricot élastique : CreateApplicationVersion tige de haricot élastique : CreateConfigurationTemplate tige de haricot élastique : CreateEnvironment tige de haricot élastique : CreatePlatformVersion tige de haricot élastique : CreateStorageLocation tige de haricot élastique : DeleteApplication tige de haricot élastique : DeleteApplicationVersion tige de haricot élastique : DeleteConfigurationTemplate tige de haricot élastique : DeleteEnvironmentConfiguration tige de haricot élastique : DeletePlatformVersion tige de haricot élastique : DescribeAccountAttributes tige de haricot élastique : DescribeApplicationVersions tige de haricot élastique : DescribeApplications tige de haricot élastique : DescribeConfigurationOptions tige de haricot élastique : DescribeConfigurationSettings tige de haricot élastique : DescribeEnvironmentHealth tige de haricot élastique : DescribeEnvironmentManagedActionHistory tige de haricot élastique : DescribeEnvironmentManagedActions tige de haricot élastique : DescribeEnvironmentResources tige de haricot élastique : DescribeEnvironments tige de haricot élastique : DescribeEvents tige de haricot élastique : DescribeInstancesHealth tige de haricot élastique : DescribePlatformVersion tige de haricot élastique : DisassociateEnvironmentOperationsRole tige de haricot élastique : ListAvailableSolutionStacks tige de haricot élastique : ListPlatformBranches tige de haricot élastique : ListPlatformVersions tige de haricot élastique : RebuildEnvironment tige de haricot élastique : RequestEnvironmentInfo tige de haricot élastique : RestartAppServer tige de haricot élastique : RetrieveEnvironmentInfo tige de haricot élastique : SwapEnvironment CNAMEs tige de haricot élastique : TerminateEnvironment tige de haricot élastique : UpdateApplication tige de haricot élastique : UpdateApplicationResourceLifecycle tige de haricot élastique : UpdateApplicationVersion tige de haricot élastique : UpdateConfigurationTemplate tige de haricot élastique : UpdateEnvironment tige de haricot élastique : ValidateConfigurationSettings  | 
| elasticfilesystem |  système de fichiers élastique : CreateAccessPoint système de fichiers élastique : CreateFileSystem système de fichiers élastique : CreateMountTarget système de fichiers élastique : CreateReplicationConfiguration système de fichiers élastique : DeleteAccessPoint système de fichiers élastique : DeleteFileSystem système de fichiers élastique : DeleteFileSystemPolicy système de fichiers élastique : DeleteMountTarget système de fichiers élastique : DeleteReplicationConfiguration système de fichiers élastique : DescribeAccessPoints système de fichiers élastique : DescribeAccountPreferences système de fichiers élastique : DescribeBackupPolicy système de fichiers élastique : DescribeFileSystemPolicy système de fichiers élastique : DescribeFileSystems système de fichiers élastique : DescribeLifecycleConfiguration système de fichiers élastique : DescribeMountTargetSecurityGroups système de fichiers élastique : DescribeMountTargets système de fichiers élastique : DescribeReplicationConfigurations système de fichiers élastique : ModifyMountTargetSecurityGroups système de fichiers élastique : PutAccountPreferences système de fichiers élastique : PutBackupPolicy système de fichiers élastique : PutFileSystemPolicy système de fichiers élastique : PutLifecycleConfiguration système de fichiers élastique : UpdateFileSystem système de fichiers élastique : UpdateFileSystemProtection  | 
| elasticloadbalancing |  équilibrage de charge élastique : AddListenerCertificates équilibrage de charge élastique : AddTrustStoreRevocations équilibrage de charge élastique : ApplySecurityGroupsToLoadBalancer équilibrage de charge élastique : AttachLoadBalancerToSubnets équilibrage de charge élastique : ConfigureHealthCheck équilibrage de charge élastique : CreateAppCookieStickinessPolicy ElasticLoadbalancing : créer LBCookie StickinessPolicy équilibrage de charge élastique : CreateListener équilibrage de charge élastique : CreateLoadBalancer équilibrage de charge élastique : CreateLoadBalancerListeners équilibrage de charge élastique : CreateLoadBalancerPolicy équilibrage de charge élastique : CreateRule équilibrage de charge élastique : CreateTargetGroup équilibrage de charge élastique : CreateTrustStore équilibrage de charge élastique : CreateWeb ACLAssociation équilibrage de charge élastique : DeleteListener équilibrage de charge élastique : DeleteLoadBalancer équilibrage de charge élastique : DeleteLoadBalancerListeners équilibrage de charge élastique : DeleteLoadBalancerPolicy équilibrage de charge élastique : DeleteRule équilibrage de charge élastique : DeleteSharedTrustStoreAssociation équilibrage de charge élastique : DeleteTargetGroup équilibrage de charge élastique : DeleteTrustStore équilibrage de charge élastique : DeleteWeb ACLAssociation équilibrage de charge élastique : DeregisterInstancesFromLoadBalancer équilibrage de charge élastique : DeregisterTargets équilibrage de charge élastique : DescribeAccountLimits équilibrage de charge élastique : DescribeCapacityReservation équilibrage de charge élastique : DescribeInstanceHealth équilibrage de charge élastique : DescribeListenerAttributes équilibrage de charge élastique : DescribeListenerCertificates équilibrage de charge élastique : DescribeListeners équilibrage de charge élastique : DescribeLoadBalancerAttributes équilibrage de charge élastique : DescribeLoadBalancerPolicies équilibrage de charge élastique : DescribeLoadBalancerPolicyTypes équilibrage de charge élastique : DescribeLoadBalancers équilibrage de charge élastique : DescribeRules Équilibrage de charge élastique : décrire SSLPolicies équilibrage de charge élastique : DescribeTargetGroupAttributes équilibrage de charge élastique : DescribeTargetGroups équilibrage de charge élastique : DescribeTargetHealth équilibrage de charge élastique : DescribeTrustStoreAssociations équilibrage de charge élastique : DescribeTrustStoreRevocations équilibrage de charge élastique : DescribeTrustStores équilibrage de charge élastique : DescribeWeb ACLAssociation équilibrage de charge élastique : DetachLoadBalancerFromSubnets équilibrage de charge élastique : DisableAvailabilityZonesForLoadBalancer équilibrage de charge élastique : EnableAvailabilityZonesForLoadBalancer équilibrage de charge élastique : ACL GetLoadBalancerWeb équilibrage de charge élastique : GetResourcePolicy équilibrage de charge élastique : GetTrustStoreCaCertificatesBundle équilibrage de charge élastique : GetTrustStoreRevocationContent équilibrage de charge élastique : ModifyCapacityReservation équilibrage de charge élastique : ModifyIpPools équilibrage de charge élastique : ModifyListener équilibrage de charge élastique : ModifyLoadBalancerAttributes équilibrage de charge élastique : ModifyRule équilibrage de charge élastique : ModifyTargetGroup équilibrage de charge élastique : ModifyTargetGroupAttributes équilibrage de charge élastique : ModifyTrustStore équilibrage de charge élastique : RegisterInstancesWithLoadBalancer équilibrage de charge élastique : RegisterTargets équilibrage de charge élastique : RemoveListenerCertificates équilibrage de charge élastique : RemoveTrustStoreRevocations équilibrage de charge élastique : SetIpAddressType équilibrage de charge élastique : SetLoadBalancerListener SSLCertificate équilibrage de charge élastique : SetLoadBalancerPoliciesForBackendServer équilibrage de charge élastique : SetLoadBalancerPoliciesOfListener équilibrage de charge élastique : SetRulePriorities équilibrage de charge élastique : SetSecurityGroups équilibrage de charge élastique : SetSubnets  | 
| elastictranscoder |  transcodeur élastique : CancelJob transcodeur élastique : CreateJob transcodeur élastique : CreatePipeline transcodeur élastique : CreatePreset transcodeur élastique : DeletePipeline transcodeur élastique : DeletePreset transcodeur élastique : ListJobsByPipeline transcodeur élastique : ListJobsByStatus transcodeur élastique : ListPipelines transcodeur élastique : ListPresets transcodeur élastique : ReadJob transcodeur élastique : ReadPipeline transcodeur élastique : ReadPreset transcodeur élastique : TestRole transcodeur élastique : UpdatePipeline transcodeur élastique : UpdatePipelineNotifications transcodeur élastique : UpdatePipelineStatus  | 
| emr-containers |  Conteneurs EMR : CancelJobRun Conteneurs EMR : CreateJobTemplate Conteneurs EMR : CreateManagedEndpoint Conteneurs EMR : CreateSecurityConfiguration Conteneurs EMR : CreateVirtualCluster Conteneurs EMR : DeleteJobTemplate Conteneurs EMR : DeleteManagedEndpoint Conteneurs EMR : DeleteVirtualCluster Conteneurs EMR : DescribeJobRun Conteneurs EMR : DescribeJobTemplate Conteneurs EMR : DescribeManagedEndpoint Conteneurs EMR : DescribeSecurityConfiguration Conteneurs EMR : DescribeVirtualCluster Conteneurs EMR : GetManagedEndpointSessionCredentials Conteneurs EMR : ListJobRuns Conteneurs EMR : ListJobTemplates Conteneurs EMR : ListManagedEndpoints Conteneurs EMR : ListSecurityConfigurations Conteneurs EMR : ListVirtualClusters Conteneurs EMR : StartJobRun  | 
| emr-serverless |  emr sans serveur : CancelJobRun emr sans serveur : CreateApplication emr sans serveur : DeleteApplication emr sans serveur : GetApplication emr sans serveur : GetDashboardForJobRun emr sans serveur : GetJobRun emr sans serveur : ListApplications emr sans serveur : ListJobRunAttempts emr sans serveur : ListJobRuns emr sans serveur : StartApplication emr sans serveur : StartJobRun emr sans serveur : StopApplication emr sans serveur : UpdateApplication  | 
| es |  Oui : AcceptInboundConnection Oui : AcceptInboundCrossClusterSearchConnection Oui : AssociatePackage Oui : AuthorizeVpcEndpointAccess Oui : CancelElasticsearchServiceSoftwareUpdate Oui : CancelServiceSoftwareUpdate Oui : CreateDomain Oui : CreateElasticsearchDomain Oui : CreateIndex Oui : CreateOutboundConnection Oui : CreateOutboundCrossClusterSearchConnection Oui : CreatePackage Oui : CreateVpcEndpoint Oui : DeleteDomain Oui : DeleteElasticsearchDomain Oui : DeleteElasticsearchServiceRole Oui : DeleteInboundConnection Oui : DeleteInboundCrossClusterSearchConnection Oui : DeleteIndex Oui : DeleteOutboundConnection Oui : DeleteOutboundCrossClusterSearchConnection Oui : DeletePackage Oui : DeleteVpcEndpoint Oui : DescribeDomain Oui : DescribeDomainAutoTunes Oui : DescribeDomainChangeProgress Oui : DescribeDomainConfig Oui : DescribeDomainHealth Oui : DescribeDomainNodes Oui : DescribeDomains Oui : DescribeDryRunProgress Oui : DescribeElasticsearchDomain Oui : DescribeElasticsearchDomainConfig Oui : DescribeElasticsearchDomains Oui : DescribeElasticsearchInstanceTypeLimits Oui : DescribeInboundConnections Oui : DescribeInboundCrossClusterSearchConnections Oui : DescribeInstanceTypeLimits Oui : DescribeOutboundConnections Oui : DescribeOutboundCrossClusterSearchConnections Oui : DescribePackages Oui : DescribeReservedElasticsearchInstanceOfferings Oui : DescribeReservedElasticsearchInstances Oui : DescribeReservedInstanceOfferings Oui : DescribeReservedInstances Oui : DescribeVpcEndpoints Oui : DissociatePackage Oui : DissociatePackages Oui : GetCompatibleElasticsearchVersions Oui : GetCompatibleVersions Oui : GetDataSource Oui : GetDomainMaintenanceStatus Oui : GetPackageVersionHistory Oui : GetUpgradeHistory Oui : GetUpgradeStatus Oui : ListDataSources Oui : ListDomainNames Oui : ListDomainsForPackage Oui : ListElasticsearchInstanceTypes Oui : ListElasticsearchVersions Oui : ListInstanceTypeDetails Oui : ListPackagesForDomain Oui : ListScheduledActions Oui : ListVersions Oui : ListVpcEndpointAccess Oui : ListVpcEndpoints Oui : ListVpcEndpointsForDomain Oui : PurchaseReservedElasticsearchInstanceOffering Oui : PurchaseReservedInstanceOffering Oui : RejectInboundConnection Oui : RejectInboundCrossClusterSearchConnection Oui : RevokeVpcEndpointAccess Oui : StartDomainMaintenance Oui : StartElasticsearchServiceSoftwareUpdate Oui : StartServiceSoftwareUpdate Oui : UpdateDataSource Oui : UpdateDomainConfig Oui : UpdateElasticsearchDomainConfig Oui : UpdateIndex Oui : UpdatePackage Oui : UpdatePackageScope Oui : UpdateScheduledAction Oui : UpdateVpcEndpoint Oui : UpgradeDomain Oui : UpgradeElasticsearchDomain  | 
| events |  événements : ActivateEventSource événements : CancelReplay événements : CreateApiDestination événements : CreateArchive événements : CreateConnection événements : CreateEndpoint événements : CreateEventBus événements : CreatePartnerEventSource événements : DeactivateEventSource événements : DeauthorizeConnection événements : DeleteApiDestination événements : DeleteArchive événements : DeleteConnection événements : DeleteEndpoint événements : DeleteEventBus événements : DeletePartnerEventSource événements : DeleteRule événements : DescribeApiDestination événements : DescribeArchive événements : DescribeConnection événements : DescribeEndpoint événements : DescribeEventBus événements : DescribeEventSource événements : DescribePartnerEventSource événements : DescribeReplay événements : DescribeRule événements : DisableRule événements : EnableRule événements : ListApiDestinations événements : ListArchives événements : ListConnections événements : ListEndpoints événements : ListEventBuses événements : ListEventSources événements : ListPartnerEventSourceAccounts événements : ListPartnerEventSources événements : ListReplays événements : ListRuleNamesByTarget événements : ListRules événements : ListTargetsByRule événements : PutPermission événements : PutRule événements : PutTargets événements : RemovePermission événements : RemoveTargets événements : StartReplay événements : TestEventPattern événements : UpdateApiDestination événements : UpdateArchive événements : UpdateConnection événements : UpdateEndpoint événements : UpdateEventBus  | 
| evidently |  évidemment : CreateExperiment évidemment : CreateFeature évidemment : CreateLaunch évidemment : CreateProject évidemment : CreateSegment évidemment : DeleteExperiment évidemment : DeleteFeature évidemment : DeleteLaunch évidemment : DeleteProject évidemment : DeleteSegment évidemment : GetExperiment évidemment : GetExperimentResults évidemment : GetFeature évidemment : GetLaunch évidemment : GetProject évidemment : GetSegment évidemment : ListExperiments évidemment : ListFeatures évidemment : ListLaunches évidemment : ListProjects évidemment : ListSegmentReferences évidemment : ListSegments évidemment : StartExperiment évidemment : StartLaunch évidemment : StopExperiment évidemment : StopLaunch évidemment : TestSegmentPattern évidemment : UpdateExperiment évidemment : UpdateFeature évidemment : UpdateLaunch évidemment : UpdateProject évidemment : UpdateProjectDataDelivery  | 
| finspace |  espace fin : CreateEnvironment espace fin : CreateKxChangeset espace fin : CreateKxCluster espace fin : CreateKxDatabase espace fin : CreateKxDataview espace fin : CreateKxEnvironment espace fin : CreateKxScalingGroup espace fin : CreateKxUser espace fin : CreateKxVolume espace fin : CreateUser espace fin : DeleteEnvironment espace fin : DeleteKxCluster espace fin : DeleteKxClusterNode espace fin : DeleteKxDatabase espace fin : DeleteKxDataview espace fin : DeleteKxEnvironment espace fin : DeleteKxScalingGroup espace fin : DeleteKxUser espace fin : DeleteKxVolume espace fin : GetEnvironment espace fin : GetKxChangeset espace fin : GetKxCluster espace fin : GetKxConnectionString espace fin : GetKxDatabase espace fin : GetKxDataview espace fin : GetKxEnvironment espace fin : GetKxScalingGroup espace fin : GetKxUser espace fin : GetKxVolume espace fin : GetLoadSampleDataSetGroupIntoEnvironmentStatus espace fin : GetUser espace fin : ListEnvironments espace fin : ListKxChangesets espace fin : ListKxClusterNodes espace fin : ListKxClusters espace fin : ListKxDatabases espace fin : ListKxDataviews espace fin : ListKxEnvironments espace fin : ListKxScalingGroups espace fin : ListKxUsers espace fin : ListKxVolumes espace fin : ListUsers espace fin : LoadSampleDataSetGroupIntoEnvironment espace fin : ResetUserPassword espace fin : UpdateEnvironment espace fin : UpdateKxClusterCodeConfiguration espace fin : UpdateKxClusterDatabases espace fin : UpdateKxDatabase espace fin : UpdateKxDataview espace fin : UpdateKxEnvironment espace fin : UpdateKxEnvironmentNetwork espace fin : UpdateKxUser espace fin : UpdateKxVolume espace fin : UpdateUser  | 
| firehose |  lance à incendie : CreateDeliveryStream lance à incendie : DeleteDeliveryStream lance à incendie : DescribeDeliveryStream lance à incendie : ListDeliveryStreams lance à incendie : StartDeliveryStreamEncryption lance à incendie : StopDeliveryStreamEncryption lance à incendie : UpdateDestination  | 
| fis |  poisson : CreateExperimentTemplate poisson : CreateTargetAccountConfiguration poisson : DeleteExperimentTemplate poisson : DeleteTargetAccountConfiguration poisson : GetAction poisson : GetExperiment poisson : GetExperimentTargetAccountConfiguration poisson : GetExperimentTemplate poisson : GetSafetyLever poisson : GetTargetAccountConfiguration poisson : GetTargetResourceType poisson : ListActions poisson : ListExperimentResolvedTargets poisson : ListExperimentTargetAccountConfigurations poisson : ListExperimentTemplates poisson : ListExperiments poisson : ListTargetAccountConfigurations poisson : ListTargetResourceTypes poisson : StartExperiment poisson : StopExperiment poisson : UpdateExperimentTemplate poisson : UpdateSafetyLeverState poisson : UpdateTargetAccountConfiguration  | 
| fms |  fms : AssociateAdminAccount fms : AssociateThirdPartyFirewall fms : BatchAssociateResource fms : BatchDisassociateResource fms : DeleteAppsList fms : DeleteNotificationChannel fms : DeletePolicy fms : DeleteProtocolsList fms : DeleteResourceSet fms : DisassociateAdminAccount fms : DisassociateThirdPartyFirewall fms : GetAdminAccount fms : GetAdminScope fms : GetAppsList fms : GetComplianceDetail fms : GetNotificationChannel fms : GetPolicy fms : GetProtectionStatus fms : GetProtocolsList fms : GetResourceSet fms : GetThirdPartyFirewallAssociationStatus fms : GetViolationDetails fms : ListAdminAccountsForOrganization fms : ListAdminsManagingAccount fms : ListAppsLists fms : ListComplianceStatus fms : ListDiscoveredResources fms : ListMemberAccounts fms : ListPolicies fms : ListProtocolsLists fms : ListResourceSetResources fms : ListResourceSets fms : ListThirdPartyFirewallFirewallPolicies fms : PutAdminAccount fms : PutAppsList fms : PutNotificationChannel fms : PutPolicy fms : PutProtocolsList fms : PutResourceSet  | 
| frauddetector |  détecteur de fraude : BatchCreateVariable détecteur de fraude : BatchGetVariable détecteur de fraude : CancelBatchImportJob détecteur de fraude : CancelBatchPredictionJob détecteur de fraude : CreateBatchImportJob détecteur de fraude : CreateBatchPredictionJob détecteur de fraude : CreateDetectorVersion détecteur de fraude : CreateList détecteur de fraude : CreateModel détecteur de fraude : CreateModelVersion détecteur de fraude : CreateRule détecteur de fraude : CreateVariable détecteur de fraude : DeleteBatchImportJob détecteur de fraude : DeleteBatchPredictionJob détecteur de fraude : DeleteDetector détecteur de fraude : DeleteDetectorVersion détecteur de fraude : DeleteEntityType détecteur de fraude : DeleteEvent détecteur de fraude : DeleteEventType détecteur de fraude : DeleteEventsByEventType détecteur de fraude : DeleteExternalModel détecteur de fraude : DeleteLabel détecteur de fraude : DeleteList détecteur de fraude : DeleteModel détecteur de fraude : DeleteModelVersion détecteur de fraude : DeleteOutcome détecteur de fraude : DeleteRule détecteur de fraude : DeleteVariable détecteur de fraude : DescribeDetector détecteur de fraude : DescribeModelVersions détecteur de fraude : GetBatchImportJobs détecteur de fraude : GetBatchPredictionJobs détecteur de fraude : GetDeleteEventsByEventTypeStatus détecteur de fraude : GetDetectorVersion détecteur de fraude : GetDetectors détecteur de fraude : GetEntityTypes détecteur de fraude : GetEvent détecteur de fraude : GetEventPrediction détecteur de fraude : GetEventPredictionMetadata détecteur de fraude : GetEventTypes détecteur de fraude : GetExternalModels Détecteur de fraude : Get KMSEncryption Key détecteur de fraude : GetLabels détecteur de fraude : GetListElements détecteur de fraude : GetListsMetadata détecteur de fraude : GetModelVersion détecteur de fraude : GetModels détecteur de fraude : GetOutcomes détecteur de fraude : GetRules détecteur de fraude : GetVariables détecteur de fraude : ListEventPredictions détecteur de fraude : PutDetector détecteur de fraude : PutEntityType détecteur de fraude : PutEventType détecteur de fraude : PutExternalModel Détecteur de fraude : touche PUT KMSEncryption détecteur de fraude : PutLabel détecteur de fraude : PutOutcome détecteur de fraude : SendEvent détecteur de fraude : UpdateDetectorVersion détecteur de fraude : UpdateDetectorVersionMetadata détecteur de fraude : UpdateDetectorVersionStatus détecteur de fraude : UpdateEventLabel détecteur de fraude : UpdateList détecteur de fraude : UpdateModel détecteur de fraude : UpdateModelVersion détecteur de fraude : UpdateModelVersionStatus détecteur de fraude : UpdateRuleMetadata détecteur de fraude : UpdateRuleVersion détecteur de fraude : UpdateVariable  | 
| fsx |  télécopie : AssociateFileSystemAliases télécopie : CancelDataRepositoryTask télécopie : CopyBackup télécopie : CreateDataRepositoryTask télécopie : CreateFileCache télécopie : CreateFileSystem télécopie : CreateFileSystemFromBackup télécopie : CreateSnapshot télécopie : CreateStorageVirtualMachine télécopie : CreateVolume télécopie : CreateVolumeFromBackup télécopie : DeleteBackup télécopie : DeleteFileCache télécopie : DeleteFileSystem télécopie : DeleteSnapshot télécopie : DeleteStorageVirtualMachine télécopie : DeleteVolume télécopie : DescribeBackups télécopie : DescribeDataRepositoryAssociations télécopie : DescribeDataRepositoryTasks télécopie : DescribeFileCaches télécopie : DescribeFileSystemAliases télécopie : DescribeFileSystems FSX : décrit 3 AccessPointAttachments télécopie : DescribeSharedVpcConfiguration télécopie : DescribeSnapshots télécopie : DescribeStorageVirtualMachines télécopie : DescribeVolumes télécopieur : S3 DetachAndDelete AccessPoint télécopie : DisassociateFileSystemAliases télécopieur : V3Locks ReleaseFileSystemNfs télécopie : RestoreVolumeFromSnapshot télécopie : StartMisconfiguredStateRecovery télécopie : UpdateDataRepositoryAssociation télécopie : UpdateFileCache télécopie : UpdateFileSystem télécopie : UpdateSharedVpcConfiguration télécopie : UpdateSnapshot télécopie : UpdateStorageVirtualMachine télécopie : UpdateVolume  | 
| gamelift |  gamelift : AcceptMatch gamelift : ClaimGameServer gamelift : CreateAlias gamelift : CreateBuild gamelift : CreateContainerGroupDefinition gamelift : CreateFleet gamelift : CreateFleetLocations gamelift : CreateGameServerGroup gamelift : CreateGameSession gamelift : CreateGameSessionQueue gamelift : CreateLocation gamelift : CreateMatchmakingConfiguration gamelift : CreateMatchmakingRuleSet gamelift : CreatePlayerSession gamelift : CreatePlayerSessions gamelift : CreateScript gamelift : CreateVpcPeeringAuthorization gamelift : CreateVpcPeeringConnection gamelift : DeleteAlias gamelift : DeleteBuild gamelift : DeleteContainerGroupDefinition gamelift : DeleteFleet gamelift : DeleteFleetLocations gamelift : DeleteGameServerGroup gamelift : DeleteGameSessionQueue gamelift : DeleteLocation gamelift : DeleteMatchmakingConfiguration gamelift : DeleteMatchmakingRuleSet gamelift : DeleteScalingPolicy gamelift : DeleteScript gamelift : DeleteVpcPeeringAuthorization gamelift : DeleteVpcPeeringConnection gamelift : DeregisterCompute gamelift : DeregisterGameServer gamelift : DescribeAlias gamelift : DescribeBuild gamelift : DescribeCompute gamelift : DescribeContainerFleet gamelift : DescribeContainerGroupDefinition GameLift : Décrivez EC2 InstanceLimits gamelift : DescribeFleetAttributes gamelift : DescribeFleetCapacity gamelift : DescribeFleetEvents gamelift : DescribeFleetLocationAttributes gamelift : DescribeFleetLocationCapacity gamelift : DescribeFleetLocationUtilization gamelift : DescribeFleetPortSettings gamelift : DescribeFleetUtilization gamelift : DescribeGameServer gamelift : DescribeGameServerGroup gamelift : DescribeGameServerInstances gamelift : DescribeGameSessionDetails gamelift : DescribeGameSessionPlacement gamelift : DescribeGameSessionQueues gamelift : DescribeGameSessions gamelift : DescribeInstances gamelift : DescribeMatchmaking gamelift : DescribeMatchmakingConfigurations gamelift : DescribeMatchmakingRuleSets gamelift : DescribePlayerSessions gamelift : DescribeRuntimeConfiguration gamelift : DescribeScalingPolicies gamelift : DescribeScript gamelift : DescribeVpcPeeringAuthorizations gamelift : DescribeVpcPeeringConnections gamelift : GetComputeAccess gamelift : GetComputeAuthToken gamelift : GetGameSessionLogUrl gamelift : GetInstanceAccess gamelift : ListAliases gamelift : ListBuilds gamelift : ListCompute gamelift : ListContainerFleets gamelift : ListContainerGroupDefinitionVersions gamelift : ListContainerGroupDefinitions gamelift : ListFleetDeployments gamelift : ListFleets gamelift : ListGameServerGroups gamelift : ListGameServers gamelift : ListLocations gamelift : ListScripts gamelift : PutScalingPolicy gamelift : RegisterCompute gamelift : RegisterGameServer gamelift : RequestUploadCredentials gamelift : ResolveAlias gamelift : ResumeGameServerGroup gamelift : SearchGameSessions gamelift : StartFleetActions gamelift : StartGameSessionPlacement gamelift : StartMatchBackfill gamelift : StartMatchmaking gamelift : StopFleetActions gamelift : StopGameSessionPlacement gamelift : StopMatchmaking gamelift : SuspendGameServerGroup gamelift : TerminateGameSession gamelift : UpdateAlias gamelift : UpdateBuild gamelift : UpdateContainerGroupDefinition gamelift : UpdateFleetAttributes gamelift : UpdateFleetCapacity gamelift : UpdateFleetPortSettings gamelift : UpdateGameServer gamelift : UpdateGameServerGroup gamelift : UpdateGameSession gamelift : UpdateGameSessionQueue gamelift : UpdateMatchmakingConfiguration gamelift : UpdateRuntimeConfiguration gamelift : UpdateScript gamelift : ValidateMatchmakingRuleSet  | 
| geo |  géo : AssociateTrackerConsumer géo : BatchDeleteDevicePositionHistory géo : BatchDeleteGeofence géo : BatchEvaluateGeofences géo : BatchGetDevicePosition géo : BatchPutGeofence géo : BatchUpdateDevicePosition géo : CalculateRoute géo : CalculateRouteMatrix géo : CreateGeofenceCollection géo : CreateMap géo : CreatePlaceIndex géo : CreateRouteCalculator géo : CreateTracker géo : DeleteGeofenceCollection géo : DeleteKey géo : DeleteMap géo : DeletePlaceIndex géo : DeleteRouteCalculator géo : DeleteTracker géo : DescribeGeofenceCollection géo : DescribeKey géo : DescribeMap géo : DescribePlaceIndex géo : DescribeRouteCalculator géo : DescribeTracker géo : DisassociateTrackerConsumer géo : ForecastGeofenceEvents géo : GetDevicePosition géo : GetDevicePositionHistory géo : GetGeofence géo : GetMapGlyphs géo : GetMapSprites géo : GetMapStyleDescriptor géo : GetMapTile géo : GetPlace géo : ListDevicePositions géo : ListGeofenceCollections géo : ListGeofences géo : ListKeys géo : ListMaps géo : ListPlaceIndexes géo : ListRouteCalculators géo : ListTrackerConsumers géo : ListTrackers géo : PutGeofence géo : SearchPlaceIndexForPosition géo : SearchPlaceIndexForSuggestions géo : SearchPlaceIndexForText géo : UpdateGeofenceCollection géo : UpdateKey géo : UpdateMap géo : UpdatePlaceIndex géo : UpdateRouteCalculator géo : UpdateTracker géo : VerifyDevicePosition  | 
| glacier |  glacier : AbortMultipartUpload glacier : AbortVaultLock glacier : CompleteMultipartUpload glacier : CompleteVaultLock glacier : CreateVault glacier : DeleteArchive glacier : DeleteVault glacier : DeleteVaultAccessPolicy glacier : DeleteVaultNotifications glacier : DescribeJob glacier : DescribeVault glacier : GetDataRetrievalPolicy glacier : GetJobOutput glacier : GetVaultAccessPolicy glacier : GetVaultLock glacier : GetVaultNotifications glacier : InitiateJob glacier : InitiateMultipartUpload glacier : InitiateVaultLock glacier : ListJobs glacier : ListMultipartUploads glacier : ListParts glacier : ListProvisionedCapacity glacier : ListVaults glacier : PurchaseProvisionedCapacity glacier : SetDataRetrievalPolicy glacier : SetVaultAccessPolicy glacier : SetVaultNotifications glacier : UploadArchive glacier : UploadMultipartPart  | 
| grafana |  Grafana : AssociateLicense Grafana : CreateWorkspace Grafana : CreateWorkspaceApiKey Grafana : CreateWorkspaceServiceAccount Grafana : CreateWorkspaceServiceAccountToken Grafana : DeleteWorkspace Grafana : DeleteWorkspaceApiKey Grafana : DeleteWorkspaceServiceAccount Grafana : DeleteWorkspaceServiceAccountToken Grafana : DescribeWorkspace Grafana : DescribeWorkspaceAuthentication Grafana : DescribeWorkspaceConfiguration Grafana : DisassociateLicense Grafana : ListPermissions Grafana : ListVersions Grafana : ListWorkspaceServiceAccountTokens Grafana : ListWorkspaceServiceAccounts Grafana : ListWorkspaces Grafana : UpdatePermissions Grafana : UpdateWorkspace Grafana : UpdateWorkspaceAuthentication Grafana : UpdateWorkspaceConfiguration  | 
| greengrass |  herbe verte : AssociateRoleToGroup herbe verte : AssociateServiceRoleToAccount herbe verte : BatchAssociateClientDeviceWithCoreDevice herbe verte : BatchDisassociateClientDeviceFromCoreDevice herbe verte : CancelDeployment herbe verte : CreateComponentVersion herbe verte : CreateConnectorDefinition herbe verte : CreateConnectorDefinitionVersion herbe verte : CreateCoreDefinition herbe verte : CreateCoreDefinitionVersion herbe verte : CreateDeployment herbe verte : CreateDeviceDefinition herbe verte : CreateDeviceDefinitionVersion herbe verte : CreateFunctionDefinition herbe verte : CreateFunctionDefinitionVersion herbe verte : CreateGroup herbe verte : CreateGroupCertificateAuthority herbe verte : CreateGroupVersion herbe verte : CreateLoggerDefinition herbe verte : CreateLoggerDefinitionVersion herbe verte : CreateResourceDefinition herbe verte : CreateResourceDefinitionVersion herbe verte : CreateSoftwareUpdateJob herbe verte : CreateSubscriptionDefinition herbe verte : CreateSubscriptionDefinitionVersion herbe verte : DeleteComponent herbe verte : DeleteConnectorDefinition herbe verte : DeleteCoreDefinition herbe verte : DeleteCoreDevice herbe verte : DeleteDeployment herbe verte : DeleteDeviceDefinition herbe verte : DeleteFunctionDefinition herbe verte : DeleteGroup herbe verte : DeleteLoggerDefinition herbe verte : DeleteResourceDefinition herbe verte : DeleteSubscriptionDefinition herbe verte : DescribeComponent herbe verte : DisassociateRoleFromGroup herbe verte : DisassociateServiceRoleFromAccount herbe verte : GetAssociatedRole herbe verte : GetBulkDeploymentStatus herbe verte : GetComponent herbe verte : GetComponentVersionArtifact herbe verte : GetConnectivityInfo herbe verte : GetConnectorDefinition herbe verte : GetConnectorDefinitionVersion herbe verte : GetCoreDefinition herbe verte : GetCoreDefinitionVersion herbe verte : GetCoreDevice herbe verte : GetDeployment herbe verte : GetDeploymentStatus herbe verte : GetDeviceDefinition herbe verte : GetDeviceDefinitionVersion herbe verte : GetFunctionDefinition herbe verte : GetFunctionDefinitionVersion herbe verte : GetGroup herbe verte : GetGroupCertificateAuthority herbe verte : GetGroupCertificateConfiguration herbe verte : GetGroupVersion herbe verte : GetLoggerDefinition herbe verte : GetLoggerDefinitionVersion herbe verte : GetResourceDefinition herbe verte : GetResourceDefinitionVersion herbe verte : GetServiceRoleForAccount herbe verte : GetSubscriptionDefinition herbe verte : GetSubscriptionDefinitionVersion herbe verte : GetThingRuntimeConfiguration herbe verte : ListBulkDeploymentDetailedReports herbe verte : ListBulkDeployments herbe verte : ListClientDevicesAssociatedWithCoreDevice herbe verte : ListComponentVersions herbe verte : ListComponents herbe verte : ListConnectorDefinitionVersions herbe verte : ListConnectorDefinitions herbe verte : ListCoreDefinitionVersions herbe verte : ListCoreDefinitions herbe verte : ListCoreDevices herbe verte : ListDeployments herbe verte : ListDeviceDefinitionVersions herbe verte : ListDeviceDefinitions herbe verte : ListEffectiveDeployments herbe verte : ListFunctionDefinitionVersions herbe verte : ListFunctionDefinitions herbe verte : ListGroupCertificateAuthorities herbe verte : ListGroupVersions herbe verte : ListGroups herbe verte : ListInstalledComponents herbe verte : ListLoggerDefinitionVersions herbe verte : ListLoggerDefinitions herbe verte : ListResourceDefinitionVersions herbe verte : ListResourceDefinitions herbe verte : ListSubscriptionDefinitionVersions herbe verte : ListSubscriptionDefinitions herbe verte : ResetDeployments herbe verte : StartBulkDeployment herbe verte : StopBulkDeployment herbe verte : UpdateConnectivityInfo herbe verte : UpdateConnectorDefinition herbe verte : UpdateCoreDefinition herbe verte : UpdateDeviceDefinition herbe verte : UpdateFunctionDefinition herbe verte : UpdateGroup herbe verte : UpdateGroupCertificateConfiguration herbe verte : UpdateLoggerDefinition herbe verte : UpdateResourceDefinition herbe verte : UpdateSubscriptionDefinition herbe verte : UpdateThingRuntimeConfiguration  | 
| groundstation |  station au sol : CancelContact station au sol : CreateConfig station au sol : CreateDataflowEndpointGroup station au sol : V2 CreateDataflowEndpointGroup station au sol : CreateEphemeris station au sol : CreateMissionProfile station au sol : DeleteConfig station au sol : DeleteDataflowEndpointGroup station au sol : DeleteEphemeris station au sol : DeleteMissionProfile station au sol : DescribeContact station au sol : DescribeEphemeris station au sol : GetConfig station au sol : GetDataflowEndpointGroup station au sol : GetMinuteUsage station au sol : GetMissionProfile station au sol : GetSatellite station au sol : ListConfigs station au sol : ListContacts station au sol : ListDataflowEndpointGroups station au sol : ListEphemerides station au sol : ListGroundStations station au sol : ListMissionProfiles station au sol : ListSatellites station au sol : RegisterAgent station au sol : ReserveContact station au sol : UpdateAgentStatus station au sol : UpdateConfig station au sol : UpdateEphemeris station au sol : UpdateMissionProfile  | 
| guardduty |  devoir de garde : AcceptAdministratorInvitation devoir de garde : AcceptInvitation devoir de garde : ArchiveFindings devoir de garde : CreateDetector devoir de garde : CreateFilter Devoir de garde : créer IPSet devoir de garde : CreateMalwareProtectionPlan devoir de garde : CreateMembers devoir de garde : CreatePublishingDestination devoir de garde : CreateSampleFindings devoir de garde : CreateThreatEntitySet devoir de garde : CreateThreatIntelSet devoir de garde : CreateTrustedEntitySet devoir de garde : DeclineInvitations devoir de garde : DeleteDetector devoir de garde : DeleteFilter Devoir de garde : Supprimer IPSet devoir de garde : DeleteInvitations devoir de garde : DeleteMalwareProtectionPlan devoir de garde : DeleteMembers devoir de garde : DeletePublishingDestination devoir de garde : DeleteThreatEntitySet devoir de garde : DeleteThreatIntelSet devoir de garde : DeleteTrustedEntitySet devoir de garde : DescribeMalwareScans devoir de garde : DescribeOrganizationConfiguration devoir de garde : DescribePublishingDestination devoir de garde : DisableOrganizationAdminAccount devoir de garde : DisassociateFromAdministratorAccount devoir de garde : DisassociateFromMasterAccount devoir de garde : DisassociateMembers devoir de garde : EnableOrganizationAdminAccount devoir de garde : GetAdministratorAccount devoir de garde : GetCoverageStatistics devoir de garde : GetDetector devoir de garde : GetFilter devoir de garde : GetFindings devoir de garde : GetFindingsStatistics Devoir de garde : GET IPSet devoir de garde : GetInvitationsCount devoir de garde : GetMalwareProtectionPlan devoir de garde : GetMalwareScan devoir de garde : GetMalwareScanSettings devoir de garde : GetMasterAccount devoir de garde : GetMemberDetectors devoir de garde : GetMembers devoir de garde : GetOrganizationStatistics devoir de garde : GetRemainingFreeTrialDays devoir de garde : GetThreatEntitySet devoir de garde : GetThreatIntelSet devoir de garde : GetTrustedEntitySet devoir de garde : GetUsageStatistics devoir de garde : InviteMembers devoir de garde : ListCoverage devoir de garde : ListDetectors devoir de garde : ListFilters devoir de garde : ListFindings Devoir de garde : liste IPSets devoir de garde : ListInvitations devoir de garde : ListMalwareProtectionPlans devoir de garde : ListMalwareScans devoir de garde : ListMembers devoir de garde : ListOrganizationAdminAccounts devoir de garde : ListPublishingDestinations devoir de garde : ListThreatEntitySets devoir de garde : ListThreatIntelSets devoir de garde : ListTrustedEntitySets devoir de garde : StartMalwareScan devoir de garde : StartMonitoringMembers devoir de garde : StopMonitoringMembers devoir de garde : UnarchiveFindings devoir de garde : UpdateDetector devoir de garde : UpdateFilter devoir de garde : UpdateFindingsFeedback Devoir de garde : mise à jour IPSet devoir de garde : UpdateMalwareProtectionPlan devoir de garde : UpdateMalwareScanSettings devoir de garde : UpdateMemberDetectors devoir de garde : UpdateOrganizationConfiguration devoir de garde : UpdatePublishingDestination devoir de garde : UpdateThreatEntitySet devoir de garde : UpdateThreatIntelSet devoir de garde : UpdateTrustedEntitySet  | 
| healthlake |  HealthLake : Annuler FHIRExport JobWithDelete HealthLake : créer FHIRDatastore lac de santé : CreateResource HealthLake : Supprimer FHIRDatastore lac de santé : DeleteResource Healthlake : décrivez FHIRDatastore HealthLake : Décrivez FHIRExport le poste Healthlake : décrivez FHIRExport JobWithGet HealthLake : Décrivez FHIRImport le poste lac de santé : GetCapabilities Healthlake : liste FHIRDatastores Health Lake : liste des offres d'FHIRExportemploi Health Lake : liste des offres d'FHIRImportemploi lac de santé : ReadResource lac de santé : SearchEverything lac de santé : SearchWithGet lac de santé : SearchWithPost HealthLake : Start FHIRExport Job HealthLake : Start FHIRExport JobWithPost HealthLake : Start FHIRImport Job lac de santé : UpdateResource  | 
| honeycode |  code d'identification : BatchCreateTableRows code d'identification : BatchDeleteTableRows code d'identification : BatchUpdateTableRows code d'identification : BatchUpsertTableRows code d'identification : DescribeTableDataImportJob code d'identification : GetScreenData code d'identification : InvokeScreenAutomation code d'identification : ListTableColumns code d'identification : ListTableRows code d'identification : ListTables code d'identification : QueryTableRows code d'identification : StartTableDataImportJob  | 
| iam |  iam : AddClient IDTo Open Provider IDConnect iam : AddRoleToInstanceProfile iam : AddUserToGroup iam : AttachGroupPolicy iam : AttachRolePolicy iam : AttachUserPolicy iam : ChangePassword iam : CreateAccessKey iam : CreateAccountAlias iam : CreateGroup iam : CreateInstanceProfile iam : CreateLoginProfile iam : Prestataire CreateOpen IDConnect iam : CreatePolicy iam : CreatePolicyVersion iam : CreateRole IAM : créer SAMLProvider iam : CreateServiceLinkedRole iam : CreateServiceSpecificCredential iam : CreateUser iam : CreateVirtual MFADevice IAM : Désactiver MFADevice iam : DeleteAccessKey iam : DeleteAccountAlias iam : DeleteAccountPasswordPolicy iam : DeleteCloudFrontPublicKey iam : DeleteGroup iam : DeleteGroupPolicy iam : DeleteInstanceProfile iam : DeleteLoginProfile iam : Prestataire DeleteOpen IDConnect iam : DeletePolicy iam : DeletePolicyVersion iam : DeleteRole iam : DeleteRolePermissionsBoundary iam : DeleteRolePolicy IAM : Supprimer SAMLProvider IAM SSHPublic : Supprimer la clé iam : DeleteServerCertificate iam : DeleteServiceLinkedRole iam : DeleteServiceSpecificCredential iam : DeleteSigningCertificate iam : DeleteUser iam : DeleteUserPermissionsBoundary iam : DeleteUserPolicy iam : DeleteVirtual MFADevice iam : DetachGroupPolicy iam : DetachRolePolicy iam : DetachUserPolicy iam : DisableOrganizationsRootCredentialsManagement iam : DisableOrganizationsRootSessions iam : DisableOutboundWebIdentityFederation IAM : activer MFADevice iam : EnableOrganizationsRootCredentialsManagement iam : EnableOrganizationsRootSessions iam : EnableOutboundWebIdentityFederation iam : GenerateCredentialReport iam : GenerateOrganizationsAccessReport iam : GenerateServiceLastAccessedDetails iam : GetAccessKeyLastUsed iam : GetAccountAuthorizationDetails iam : GetAccountEmailAddress iam : GetAccountName iam : GetAccountPasswordPolicy iam : GetAccountSummary iam : GetCloudFrontPublicKey iam : GetContextKeysForCustomPolicy iam : GetContextKeysForPrincipalPolicy iam : GetCredentialReport iam : GetGroup iam : GetGroupPolicy iam : GetInstanceProfile iam : GetLoginProfile IAM : GET MFADevice iam : Prestataire GetOpen IDConnect iam : GetOrganizationsAccessReport iam : GetOutboundWebIdentityFederationInfo iam : GetPolicy iam : GetPolicyVersion iam : GetRole iam : GetRolePolicy IAM : GET SAMLProvider IAM SSHPublic : obtenir la clé iam : GetServerCertificate iam : GetServiceLastAccessedDetails iam : GetServiceLastAccessedDetailsWithEntities iam : GetServiceLinkedRoleDeletionStatus iam : GetUser iam : GetUserPolicy iam : ListAccessKeys iam : ListAccountAliases iam : ListAttachedGroupPolicies iam : ListAttachedRolePolicies iam : ListAttachedUserPolicies iam : ListCloudFrontPublicKeys iam : ListDelegationRequests iam : ListEntitiesForPolicy iam : ListGroupPolicies iam : ListGroups iam : ListGroupsForUser iam : ListInstanceProfiles iam : ListInstanceProfilesForRole IAM : liste MFADevices iam : Fournisseurs ListOpen IDConnect iam : ListOrganizationsFeatures iam : ListPolicies iam : ListPoliciesGrantingServiceAccess iam : ListPolicyVersions iam : ListRolePolicies iam : ListRoles IAM : liste SAMLProviders IAM:List Keys SSHPublic IAM : liste STSRegional EndpointsStatus iam : ListServerCertificates iam : ListServiceSpecificCredentials iam : ListSigningCertificates iam : ListUserPolicies iam : ListUsers iam : ListVirtual MFADevices iam : PutGroupPolicy iam : PutRolePermissionsBoundary iam : PutRolePolicy iam : PutUserPermissionsBoundary iam : PutUserPolicy iam : RemoveClient IDFrom Open Provider IDConnect iam : RemoveRoleFromInstanceProfile iam : RemoveUserFromGroup iam : ResetServiceSpecificCredential IAM : Resync MFADevice iam : SetDefaultPolicyVersion IAM : Set STSRegional EndpointStatus iam : SetSecurityTokenServicePreferences iam : SimulateCustomPolicy iam : SimulatePrincipalPolicy iam : UpdateAccessKey iam : UpdateAccountEmailAddress iam : UpdateAccountName iam : UpdateAccountPasswordPolicy iam : UpdateAssumeRolePolicy iam : UpdateCloudFrontPublicKey iam : UpdateGroup iam : UpdateLoginProfile iam : UpdateOpen IDConnect ProviderThumbprint iam : UpdateRole iam : UpdateRoleDescription IAM : mise à jour SAMLProvider IAM SSHPublic : clé de mise à jour iam : UpdateServerCertificate iam : UpdateServiceSpecificCredential iam : UpdateSigningCertificate iam : UpdateUser iam : UploadCloudFrontPublicKey IAM SSHPublic : clé de téléchargement iam : UploadServerCertificate iam : UploadSigningCertificate  | 
| identitystore |  boutique d'identité : CreateGroup boutique d'identité : CreateGroupMembership boutique d'identité : CreateUser boutique d'identité : DeleteGroup boutique d'identité : DeleteGroupMembership boutique d'identité : DeleteUser boutique d'identité : DescribeGroup boutique d'identité : DescribeGroupMembership boutique d'identité : DescribeUser boutique d'identité : GetGroupId boutique d'identité : GetGroupMembershipId boutique d'identité : GetUserId boutique d'identité : IsMemberInGroups boutique d'identité : ListGroupMemberships boutique d'identité : ListGroupMembershipsForMember boutique d'identité : ListGroups boutique d'identité : ListUsers boutique d'identité : UpdateGroup boutique d'identité : UpdateUser  | 
| imagebuilder |  générateur d'images : CancelImageCreation générateur d'images : CancelLifecycleExecution générateur d'images : CreateComponent générateur d'images : CreateContainerRecipe générateur d'images : CreateDistributionConfiguration générateur d'images : CreateImage générateur d'images : CreateImagePipeline générateur d'images : CreateImageRecipe générateur d'images : CreateInfrastructureConfiguration générateur d'images : CreateLifecyclePolicy générateur d'images : CreateWorkflow générateur d'images : DeleteComponent générateur d'images : DeleteContainerRecipe générateur d'images : DeleteDistributionConfiguration générateur d'images : DeleteImage générateur d'images : DeleteImagePipeline générateur d'images : DeleteImageRecipe générateur d'images : DeleteInfrastructureConfiguration générateur d'images : DeleteLifecyclePolicy générateur d'images : DeleteWorkflow générateur d'images : DistributeImage générateur d'images : GetComponentPolicy générateur d'images : GetContainerRecipePolicy générateur d'images : GetImagePolicy générateur d'images : GetImageRecipePolicy générateur d'images : GetLifecycleExecution générateur d'images : GetLifecyclePolicy générateur d'images : GetMarketplaceResource générateur d'images : GetWorkflowExecution générateur d'images : GetWorkflowStepExecution générateur d'images : ImportComponent générateur d'images : ImportDiskImage générateur d'images : ImportVmImage générateur d'images : ListComponentBuildVersions générateur d'images : ListComponents générateur d'images : ListContainerRecipes générateur d'images : ListDistributionConfigurations générateur d'images : ListImageBuildVersions générateur d'images : ListImagePackages générateur d'images : ListImagePipelineImages générateur d'images : ListImagePipelines générateur d'images : ListImageRecipes générateur d'images : ListImageScanFindingAggregations générateur d'images : ListImageScanFindings générateur d'images : ListImages générateur d'images : ListInfrastructureConfigurations générateur d'images : ListLifecycleExecutionResources générateur d'images : ListLifecycleExecutions générateur d'images : ListLifecyclePolicies générateur d'images : ListWaitingWorkflowSteps générateur d'images : ListWorkflowExecutions générateur d'images : ListWorkflowStepExecutions générateur d'images : ListWorkflows générateur d'images : PutComponentPolicy générateur d'images : PutContainerRecipePolicy générateur d'images : PutImagePolicy générateur d'images : PutImageRecipePolicy générateur d'images : RetryImage générateur d'images : SendWorkflowStepAction générateur d'images : StartImagePipelineExecution générateur d'images : StartResourceStateUpdate générateur d'images : UpdateDistributionConfiguration générateur d'images : UpdateImagePipeline générateur d'images : UpdateInfrastructureConfiguration  | 
| inspector |  inspecteur : AddAttributesToFindings inspecteur : CreateAssessmentTarget inspecteur : CreateAssessmentTemplate inspecteur : CreateExclusionsPreview inspecteur : CreateResourceGroup inspecteur : DeleteAssessmentRun inspecteur : DeleteAssessmentTarget inspecteur : DeleteAssessmentTemplate inspecteur : DescribeAssessmentRuns inspecteur : DescribeAssessmentTargets inspecteur : DescribeAssessmentTemplates inspecteur : DescribeCrossAccountAccessRole inspecteur : DescribeExclusions inspecteur : DescribeFindings inspecteur : DescribeResourceGroups inspecteur : DescribeRulesPackages inspecteur : GetAssessmentReport inspecteur : GetExclusionsPreview inspecteur : GetTelemetryMetadata inspecteur : ListAssessmentRunAgents inspecteur : ListAssessmentRuns inspecteur : ListAssessmentTargets inspecteur : ListAssessmentTemplates inspecteur : ListEventSubscriptions inspecteur : ListExclusions inspecteur : ListFindings inspecteur : ListRulesPackages inspecteur : PreviewAgents inspecteur : RegisterCrossAccountAccessRole inspecteur : RemoveAttributesFromFindings inspecteur : StartAssessmentRun inspecteur : StopAssessmentRun inspecteur : SubscribeToEvent inspecteur : UnsubscribeFromEvent inspecteur : UpdateAssessmentTarget  | 
| inspector2 |  inspecteur 2 : AssociateMember inspecteur 2 : BatchGetAccountStatus inspecteur 2 : BatchGetCodeSnippet inspecteur 2 : BatchGetFindingDetails inspecteur 2 : BatchGetFreeTrialInfo inspecteur 2 : 2 BatchGetMemberEc DeepInspectionStatus inspecteur 2 : 2 BatchUpdateMemberEc DeepInspectionStatus inspecteur 2 : CancelFindingsReport inspecteur 2 : CancelSbomExport inspecteur 2 : CreateCisScanConfiguration inspecteur 2 : CreateCodeSecurityIntegration inspecteur 2 : CreateFilter inspecteur 2 : CreateFindingsReport inspecteur 2 : CreateSbomExport inspecteur 2 : DeleteCisScanConfiguration inspecteur 2 : DeleteCodeSecurityIntegration inspecteur 2 : DeleteFilter inspecteur 2 : DescribeOrganizationConfiguration inspector2:Disable inspecteur 2 : DisableDelegatedAdminAccount inspecteur 2 : DisassociateMember inspector2:Enable inspecteur 2 : EnableDelegatedAdminAccount inspecteur 2 : GetCisScanReport inspecteur 2 : GetCisScanResultDetails inspecteur 2 : GetClustersForImage inspecteur 2 : GetCodeSecurityIntegration inspecteur 2 : GetCodeSecurityScan inspecteur 2 : GetConfiguration inspecteur 2 : GetDelegatedAdminAccount inspecteur 2 : 2 GetEc DeepInspectionConfiguration inspecteur 2 : GetEncryptionKey inspecteur 2 : GetFindingsReportStatus inspecteur 2 : GetMember inspecteur 2 : GetSbomExport inspecteur 2 : ListAccountPermissions inspecteur 2 : ListCisScanConfigurations inspecteur 2 : ListCisScanResultsAggregatedByChecks inspecteur 2 : ListCisScanResultsAggregatedByTargetResource inspecteur 2 : ListCisScans inspecteur 2 : ListCodeSecurityIntegrations inspecteur 2 : ListCodeSecurityScanConfigurations inspecteur 2 : ListCoverage inspecteur 2 : ListCoverageStatistics inspecteur 2 : ListDelegatedAdminAccounts inspecteur 2 : ListFilters inspecteur 2 : ListFindingAggregations inspecteur 2 : ListFindings inspecteur 2 : ListMembers inspecteur 2 : ListUsageTotals inspecteur 2 : ResetEncryptionKey inspecteur 2 : SearchVulnerabilities inspecteur 2 : SendCisSessionHealth inspecteur 2 : SendCisSessionTelemetry inspecteur 2 : StartCisSession inspecteur 2 : StartCodeSecurityScan inspecteur 2 : StopCisSession inspecteur 2 : UpdateCisScanConfiguration inspecteur 2 : UpdateCodeSecurityIntegration inspecteur 2 : UpdateConfiguration inspecteur 2 : 2 UpdateEc DeepInspectionConfiguration inspecteur 2 : UpdateEncryptionKey inspecteur 2 : UpdateFilter inspecteur 2 : 2 UpdateOrgEc DeepInspectionConfiguration inspecteur 2 : UpdateOrganizationConfiguration  | 
| iot |  IoT : AcceptCertificateTransfer IoT : AddThingToBillingGroup IoT : AddThingToThingGroup IoT : AssociateSbomWithPackageVersion IoT : AssociateTargetsWithJob IoT : AttachPolicy IoT : AttachPrincipalPolicy IoT : AttachSecurityProfile IoT : AttachThingPrincipal IoT : CancelAuditMitigationActionsTask IoT : CancelAuditTask IoT : CancelCertificateTransfer IoT : CancelDetectMitigationActionsTask IoT : CancelJob IoT : CancelJobExecution IoT : ClearDefaultAuthorizer IoT : ConfirmTopicRuleDestination IoT : CreateAuditSuppression IoT : CreateAuthorizer IoT : CreateBillingGroup IoT : CreateCertificateFromCsr IoT : CreateCertificateProvider IoT : CreateCommand IoT : CreateCustomMetric IoT : CreateDimension IoT : CreateDomainConfiguration IoT : CreateDynamicThingGroup IoT : CreateFleetMetric IoT : CreateJob IoT : CreateJobTemplate IoT : CreateKeysAndCertificate IoT : CreateMitigationAction IoT : créer OTAUpdate IoT : CreatePackage IoT : CreatePackageVersion IoT : CreatePolicy IoT : CreatePolicyVersion IoT : CreateProvisioningClaim IoT : CreateProvisioningTemplate IoT : CreateProvisioningTemplateVersion IoT : CreateRoleAlias IoT : CreateScheduledAudit IoT : CreateSecurityProfile IoT : CreateStream IoT : CreateThing IoT : CreateThingGroup IoT : CreateThingType IoT : CreateTopicRule IoT : CreateTopicRuleDestination IoT : DeleteAccountAuditConfiguration IoT : DeleteAuditSuppression IoT : DeleteAuthorizer IoT : DeleteBillingGroup IoT : Supprimer CACertificate IoT : DeleteCertificate IoT : DeleteCertificateProvider IoT : DeleteCommand IoT : DeleteCustomMetric IoT : DeleteDimension IoT : DeleteDomainConfiguration IoT : DeleteDynamicThingGroup IoT : DeleteFleetMetric IoT : DeleteJob IoT : DeleteJobExecution IoT : DeleteJobTemplate IoT : DeleteMitigationAction IoT : Supprimer OTAUpdate IoT : DeletePackage IoT : DeletePackageVersion IoT : DeletePolicy IoT : DeletePolicyVersion IoT : DeleteProvisioningTemplate IoT : DeleteProvisioningTemplateVersion IoT : DeleteRegistrationCode IoT : DeleteRoleAlias IoT : DeleteScheduledAudit IoT : DeleteSecurityProfile IoT : DeleteStream IoT : DeleteThing IoT : DeleteThingGroup IoT : DeleteThingType IoT : DeleteTopicRule IoT : DeleteTopicRuleDestination IoT : DeleteV2 LoggingLevel IoT : DeprecateThingType IoT : DescribeAccountAuditConfiguration IoT : DescribeAuditFinding IoT : DescribeAuditMitigationActionsTask IoT : DescribeAuditSuppression IoT : DescribeAuditTask IoT : DescribeAuthorizer IoT : DescribeBillingGroup IoT : décrire CACertificate IoT : DescribeCertificate IoT : DescribeCertificateProvider IoT : DescribeCustomMetric IoT : DescribeDefaultAuthorizer IoT : DescribeDetectMitigationActionsTask IoT : DescribeDimension IoT : DescribeDomainConfiguration IoT : DescribeEncryptionConfiguration IoT : DescribeEndpoint IoT : DescribeEventConfigurations IoT : DescribeFleetMetric IoT : DescribeIndex IoT : DescribeJob IoT : DescribeJobExecution IoT : DescribeJobTemplate IoT : DescribeManagedJobTemplate IoT : DescribeMitigationAction IoT : DescribeProvisioningTemplate IoT : DescribeProvisioningTemplateVersion IoT : DescribeRoleAlias IoT : DescribeScheduledAudit IoT : DescribeSecurityProfile IoT : DescribeStream IoT : DescribeThing IoT : DescribeThingGroup IoT : DescribeThingRegistrationTask IoT : DescribeThingType IoT : DetachPolicy IoT : DetachPrincipalPolicy IoT : DetachSecurityProfile IoT : DetachThingPrincipal IoT : DisableTopicRule IoT : DisassociateSbomFromPackageVersion IoT : EnableTopicRule IoT : GetBehaviorModelTrainingSummaries IoT : GetBucketsAggregation IoT : GetCardinality IoT : GetCommand IoT : GetEffectivePolicies IoT : GetJobDocument IoT : GetLoggingOptions IoT : GET OTAUpdate IoT : GetPackage IoT : GetPackageConfiguration IoT : GetPackageVersion IoT : GetPercentiles IoT : GetPolicy IoT : GetPolicyVersion IoT : GetRegistrationCode IoT : GetStatistics IoT : GetThingConnectivityData IoT : GetTopicRule IoT : GetTopicRuleDestination IoT : GetV2 LoggingOptions IoT : ListActiveViolations IoT : ListAttachedPolicies IoT : ListAuditFindings IoT : ListAuditMitigationActionsExecutions IoT : ListAuditMitigationActionsTasks IoT : ListAuditSuppressions IoT : ListAuditTasks IoT : ListAuthorizers IoT : ListBillingGroups IoT : liste CACertificates IoT : ListCertificateProviders IoT : ListCertificates Lieu : ListCertificatesBy CA IoT : ListCommands IoT : ListCustomMetrics IoT : ListDetectMitigationActionsExecutions IoT : ListDetectMitigationActionsTasks IoT : ListDimensions IoT : ListDomainConfigurations IoT : ListFleetMetrics IoT : ListIndices IoT : ListJobExecutionsForJob IoT : ListJobExecutionsForThing IoT : ListJobTemplates IoT : ListJobs IoT : ListManagedJobTemplates IoT : ListMetricValues IoT : ListMitigationActions IoT : liste OTAUpdates IoT : ListOutgoingCertificates IoT : ListPackageVersions IoT : ListPackages IoT : ListPolicies IoT : ListPolicyPrincipals IoT : ListPolicyVersions IoT : ListPrincipalPolicies IoT : ListPrincipalThings point : ListPrincipalThings V2 IoT : ListProvisioningTemplateVersions IoT : ListProvisioningTemplates IoT : ListRelatedResourcesForAuditFinding IoT : ListRoleAliases IoT : ListSbomValidationResults IoT : ListScheduledAudits IoT : ListSecurityProfiles IoT : ListSecurityProfilesForTarget IoT : ListStreams IoT : ListTargetsForPolicy IoT : ListTargetsForSecurityProfile IoT : ListThingGroups IoT : ListThingGroupsForThing IoT : ListThingPrincipals point : ListThingPrincipals V2 IoT : ListThingRegistrationTaskReports IoT : ListThingRegistrationTasks IoT : ListThingTypes IoT : ListThings IoT : ListThingsInBillingGroup IoT : ListThingsInThingGroup IoT : ListTopicRuleDestinations IoT : ListTopicRules IoT : Liste V2 LoggingLevels IoT : ListViolationEvents IoT : PutVerificationStateOnViolation IoT : S'inscrire CACertificate IoT : RegisterCertificate Lieu : RegisterCertificateWithout CA IoT : RegisterThing IoT : RejectCertificateTransfer IoT : RemoveThingFromBillingGroup IoT : RemoveThingFromThingGroup IoT : ReplaceTopicRule IoT : SearchIndex IoT : SetDefaultAuthorizer IoT : SetDefaultPolicyVersion IoT : SetLoggingOptions IoT : SetV2 LoggingLevel IoT : SetV2 LoggingOptions IoT : StartAuditMitigationActionsTask IoT : StartDetectMitigationActionsTask IoT : StartOnDemandAuditTask IoT : StartThingRegistrationTask IoT : StopThingRegistrationTask IoT : TestAuthorization IoT : TestInvokeAuthorizer IoT : TransferCertificate IoT : UpdateAccountAuditConfiguration IoT : UpdateAuditSuppression IoT : UpdateAuthorizer IoT : UpdateBillingGroup IoT : mise à jour CACertificate IoT : UpdateCertificate IoT : UpdateCertificateProvider IoT : UpdateCommand IoT : UpdateCustomMetric IoT : UpdateDimension IoT : UpdateDomainConfiguration IoT : UpdateDynamicThingGroup IoT : UpdateEncryptionConfiguration IoT : UpdateEventConfigurations IoT : UpdateFleetMetric IoT : UpdateIndexingConfiguration IoT : UpdateJob IoT : UpdateMitigationAction IoT : UpdatePackage IoT : UpdatePackageConfiguration IoT : UpdatePackageVersion IoT : UpdateProvisioningTemplate IoT : UpdateRoleAlias IoT : UpdateScheduledAudit IoT : UpdateSecurityProfile IoT : UpdateStream IoT : UpdateThing IoT : UpdateThingGroup IoT : UpdateThingGroupsForThing IoT : UpdateThingType IoT : UpdateTopicRuleDestination IoT : ValidateSecurityProfileBehaviors  | 
| iotanalytics |  Analyse de l'IoT : CancelPipelineReprocessing Analyse de l'IoT : CreateChannel Analyse de l'IoT : CreateDataset Analyse de l'IoT : CreateDatasetContent Analyse de l'IoT : CreateDatastore Analyse de l'IoT : CreatePipeline Analyse de l'IoT : DeleteChannel Analyse de l'IoT : DeleteDataset Analyse de l'IoT : DeleteDatasetContent Analyse de l'IoT : DeleteDatastore Analyse de l'IoT : DeletePipeline Analyse de l'IoT : DescribeChannel Analyse de l'IoT : DescribeDataset Analyse de l'IoT : DescribeDatastore Analyse de l'IoT : DescribeLoggingOptions Analyse de l'IoT : DescribePipeline Analyse de l'IoT : GetDatasetContent Analyse de l'IoT : ListChannels Analyse de l'IoT : ListDatasetContents Analyse de l'IoT : ListDatasets Analyse de l'IoT : ListDatastores Analyse de l'IoT : ListPipelines Analyse de l'IoT : PutLoggingOptions Analyse de l'IoT : RunPipelineActivity Analyse de l'IoT : SampleChannelData Analyse de l'IoT : StartPipelineReprocessing Analyse de l'IoT : UpdateChannel Analyse de l'IoT : UpdateDataset Analyse de l'IoT : UpdateDatastore Analyse de l'IoT : UpdatePipeline  | 
| iotdeviceadvisor |  conseiller pour appareils IoT : CreateSuiteDefinition conseiller pour appareils IoT : DeleteSuiteDefinition conseiller pour appareils IoT : GetEndpoint conseiller pour appareils IoT : GetSuiteDefinition conseiller pour appareils IoT : GetSuiteRun conseiller pour appareils IoT : GetSuiteRunReport conseiller pour appareils IoT : ListSuiteDefinitions conseiller pour appareils IoT : ListSuiteRuns conseiller pour appareils IoT : StartSuiteRun conseiller pour appareils IoT : StopSuiteRun conseiller pour appareils IoT : UpdateSuiteDefinition  | 
| iotevents |  événements liés à l'Internet des objets : BatchAcknowledgeAlarm événements liés à l'Internet des objets : BatchDeleteDetector événements liés à l'Internet des objets : BatchDisableAlarm événements liés à l'Internet des objets : BatchEnableAlarm événements liés à l'Internet des objets : BatchResetAlarm événements liés à l'Internet des objets : BatchSnoozeAlarm événements liés à l'Internet des objets : BatchUpdateDetector événements liés à l'Internet des objets : CreateAlarmModel événements liés à l'Internet des objets : CreateDetectorModel événements liés à l'Internet des objets : CreateInput événements liés à l'Internet des objets : DeleteAlarmModel événements liés à l'Internet des objets : DeleteDetectorModel événements liés à l'Internet des objets : DeleteInput événements liés à l'Internet des objets : DescribeAlarm événements liés à l'Internet des objets : DescribeAlarmModel événements liés à l'Internet des objets : DescribeDetector événements liés à l'Internet des objets : DescribeDetectorModel événements liés à l'Internet des objets : DescribeDetectorModelAnalysis événements liés à l'Internet des objets : DescribeInput événements liés à l'Internet des objets : DescribeLoggingOptions événements liés à l'Internet des objets : GetDetectorModelAnalysisResults événements liés à l'Internet des objets : ListAlarmModelVersions événements liés à l'Internet des objets : ListAlarmModels événements liés à l'Internet des objets : ListAlarms événements liés à l'Internet des objets : ListDetectorModelVersions événements liés à l'Internet des objets : ListDetectorModels événements liés à l'Internet des objets : ListDetectors événements liés à l'Internet des objets : ListInputRoutings événements liés à l'Internet des objets : ListInputs événements liés à l'Internet des objets : PutLoggingOptions événements liés à l'Internet des objets : StartDetectorModelAnalysis événements liés à l'Internet des objets : UpdateAlarmModel événements liés à l'Internet des objets : UpdateDetectorModel événements liés à l'Internet des objets : UpdateInput  | 
| iotfleethub |  IoT Fleethub : CreateApplication IoT Fleethub : DeleteApplication IoT Fleethub : DescribeApplication IoT Fleethub : ListApplications IoT Fleethub : UpdateApplication  | 
| iotsitewise |  à l'extérieur du site : AssociateAssets à l'extérieur du site : AssociateTimeSeriesToAssetProperty à l'extérieur du site : BatchAssociateProjectAssets à l'extérieur du site : BatchDisassociateProjectAssets à l'extérieur du site : CreateAccessPolicy à l'extérieur du site : CreateAsset à l'extérieur du site : CreateAssetModel à l'extérieur du site : CreateAssetModelCompositeModel à l'extérieur du site : CreateBulkImportJob à l'extérieur du site : CreateComputationModel à l'extérieur du site : CreateDashboard à l'extérieur du site : CreateDataset à l'extérieur du site : CreateGateway à l'extérieur du site : CreatePortal à l'extérieur du site : CreateProject à l'extérieur du site : DeleteAccessPolicy à l'extérieur du site : DeleteAsset à l'extérieur du site : DeleteAssetModel à l'extérieur du site : DeleteAssetModelCompositeModel à l'extérieur du site : DeleteComputationModel à l'extérieur du site : DeleteDashboard à l'extérieur du site : DeleteDataset à l'extérieur du site : DeleteGateway à l'extérieur du site : DeletePortal à l'extérieur du site : DeleteProject à l'extérieur du site : DeleteTimeSeries à l'extérieur du site : DescribeAccessPolicy à l'extérieur du site : DescribeAsset à l'extérieur du site : DescribeAssetCompositeModel à l'extérieur du site : DescribeAssetModel à l'extérieur du site : DescribeAssetModelCompositeModel à l'extérieur du site : DescribeAssetModelInterfaceRelationship à l'extérieur du site : DescribeAssetProperty à l'extérieur du site : DescribeBulkImportJob à l'extérieur du site : DescribeComputationModel à l'extérieur du site : DescribeComputationModelExecutionSummary à l'extérieur du site : DescribeDashboard à l'extérieur du site : DescribeDataset à l'extérieur du site : DescribeDefaultEncryptionConfiguration à l'extérieur du site : DescribeExecution à l'extérieur du site : DescribeGateway à l'extérieur du site : DescribeGatewayCapabilityConfiguration à l'extérieur du site : DescribeLoggingOptions à l'extérieur du site : DescribePortal à l'extérieur du site : DescribeProject à l'extérieur du site : DescribeStorageConfiguration à l'extérieur du site : DescribeTimeSeries à l'extérieur du site : DisassociateAssets à l'extérieur du site : DisassociateTimeSeriesFromAssetProperty à l'extérieur du site : ExecuteAction à l'extérieur du site : ExecuteQuery à l'extérieur du site : ListAccessPolicies à l'extérieur du site : ListActions à l'extérieur du site : ListAssetModelCompositeModels à l'extérieur du site : ListAssetModelProperties à l'extérieur du site : ListAssetModels à l'extérieur du site : ListAssetProperties à l'extérieur du site : ListAssetRelationships à l'extérieur du site : ListAssets à l'extérieur du site : ListAssociatedAssets à l'extérieur du site : ListBulkImportJobs à l'extérieur du site : ListCompositionRelationships à l'extérieur du site : ListComputationModelDataBindingUsages à l'extérieur du site : ListComputationModelResolveToResources à l'extérieur du site : ListComputationModels à l'extérieur du site : ListDashboards en dehors du site : ListDatasets en dehors du site : ListExecutions en dehors du site : ListGateways en dehors du site : ListInterfaceRelationships en dehors du site : ListPortals en dehors du site : ListProjectAssets en dehors du site : ListProjects en dehors du site : ListTimeSeries en dehors du site : PutDefaultEncryptionConfiguration en dehors du site : PutLoggingOptions en dehors du site : PutStorageConfiguration en dehors du site : UpdateAccessPolicy en dehors du site : UpdateAsset en dehors du site : UpdateAssetModel en dehors du site : UpdateAssetModelCompositeModel en dehors du site : UpdateAssetProperty en dehors du site : UpdateComputationModel en dehors du site : UpdateDashboard en dehors du site : UpdateDataset en dehors du site : UpdateGateway en dehors du site : UpdateGatewayCapabilityConfiguration en dehors du site : UpdatePortal en dehors du site : UpdateProject  | 
| iottwinmaker |  iottwinmaker : CancelMetadataTransferJob iottwinmaker : CreateComponentType iottwinmaker : CreateEntity iottwinmaker : CreateMetadataTransferJob iottwinmaker : CreateScene iottwinmaker : CreateSyncJob iottwinmaker : CreateWorkspace iottwinmaker : DeleteComponentType iottwinmaker : DeleteEntity iottwinmaker : DeleteScene iottwinmaker : DeleteSyncJob iottwinmaker : DeleteWorkspace iottwinmaker : ExecuteQuery iottwinmaker : GetMetadataTransferJob iottwinmaker : GetPricingPlan iottwinmaker : GetScene iottwinmaker : GetSyncJob iottwinmaker : ListComponentTypes iottwinmaker : ListComponents iottwinmaker : ListEntities iottwinmaker : ListMetadataTransferJobs iottwinmaker : ListProperties iottwinmaker : ListScenes iottwinmaker : ListSyncJobs iottwinmaker : ListSyncResources iottwinmaker : ListWorkspaces iottwinmaker : UpdateComponentType iottwinmaker : UpdateEntity iottwinmaker : UpdatePricingPlan iottwinmaker : UpdateScene iottwinmaker : UpdateWorkspace  | 
| iotwireless |  IoT sans fil : AssociateAwsAccountWithPartnerAccount IoT sans fil : AssociateMulticastGroupWithFuotaTask IoT sans fil : AssociateWirelessDeviceWithFuotaTask IoT sans fil : AssociateWirelessDeviceWithMulticastGroup IoT sans fil : AssociateWirelessDeviceWithThing IoT sans fil : AssociateWirelessGatewayWithCertificate IoT sans fil : AssociateWirelessGatewayWithThing IoT sans fil : CancelMulticastGroupSession IoT sans fil : CreateDestination IoT sans fil : CreateDeviceProfile IoT sans fil : CreateFuotaTask IoT sans fil : CreateMulticastGroup IoT sans fil : CreateNetworkAnalyzerConfiguration IoT sans fil : CreateServiceProfile IoT sans fil : CreateWirelessDevice IoT sans fil : CreateWirelessGateway IoT sans fil : CreateWirelessGatewayTask IoT sans fil : CreateWirelessGatewayTaskDefinition IoT sans fil : DeleteDestination IoT sans fil : DeleteDeviceProfile IoT sans fil : DeleteFuotaTask IoT sans fil : DeleteMulticastGroup IoT sans fil : DeleteNetworkAnalyzerConfiguration IoT sans fil : DeleteQueuedMessages IoT sans fil : DeleteServiceProfile IoT sans fil : DeleteWirelessDevice IoT sans fil : DeleteWirelessDeviceImportTask IoT sans fil : DeleteWirelessGateway IoT sans fil : DeleteWirelessGatewayTask IoT sans fil : DeleteWirelessGatewayTaskDefinition IoT sans fil : DeregisterWirelessDevice IoT sans fil : DisassociateAwsAccountFromPartnerAccount IoT sans fil : DisassociateMulticastGroupFromFuotaTask IoT sans fil : DisassociateWirelessDeviceFromFuotaTask IoT sans fil : DisassociateWirelessDeviceFromMulticastGroup IoT sans fil : DisassociateWirelessDeviceFromThing IoT sans fil : DisassociateWirelessGatewayFromCertificate IoT sans fil : DisassociateWirelessGatewayFromThing IoT sans fil : GetDestination IoT sans fil : GetDeviceProfile IoT sans fil : GetEventConfigurationByResourceTypes IoT sans fil : GetFuotaTask IoT sans fil : GetLogLevelsByResourceTypes IoT sans fil : GetMetricConfiguration IoT sans fil : GetMetrics IoT sans fil : GetMulticastGroup IoT sans fil : GetMulticastGroupSession IoT sans fil : GetNetworkAnalyzerConfiguration IoT sans fil : GetPartnerAccount IoT sans fil : GetPosition IoT sans fil : GetPositionConfiguration IoT sans fil : GetPositionEstimate IoT sans fil : GetResourceEventConfiguration IoT sans fil : GetResourceLogLevel IoT sans fil : GetResourcePosition IoT sans fil : GetServiceEndpoint IoT sans fil : GetServiceProfile IoT sans fil : GetWirelessDevice IoT sans fil : GetWirelessDeviceImportTask IoT sans fil : GetWirelessDeviceStatistics IoT sans fil : GetWirelessGateway IoT sans fil : GetWirelessGatewayCertificate IoT sans fil : GetWirelessGatewayFirmwareInformation IoT sans fil : GetWirelessGatewayStatistics IoT sans fil : GetWirelessGatewayTask IoT sans fil : GetWirelessGatewayTaskDefinition IoT sans fil : ListDestinations IoT sans fil : ListDeviceProfiles IoT sans fil : ListDevicesForWirelessDeviceImportTask IoT sans fil : ListEventConfigurations IoT sans fil : ListFuotaTasks IoT sans fil : ListMulticastGroups IoT sans fil : ListMulticastGroupsByFuotaTask IoT sans fil : ListNetworkAnalyzerConfigurations IoT sans fil : ListPartnerAccounts IoT sans fil : ListPositionConfigurations IoT sans fil : ListQueuedMessages IoT sans fil : ListServiceProfiles IoT sans fil : ListWirelessDeviceImportTasks IoT sans fil : ListWirelessDevices IoT sans fil : ListWirelessGatewayTaskDefinitions IoT sans fil : ListWirelessGateways IoT sans fil : PutPositionConfiguration IoT sans fil : PutResourceLogLevel IoT sans fil : ResetAllResourceLogLevels IoT sans fil : ResetResourceLogLevel IoT sans fil : SendDataToMulticastGroup IoT sans fil : SendDataToWirelessDevice IoT sans fil : StartBulkAssociateWirelessDeviceWithMulticastGroup IoT sans fil : StartBulkDisassociateWirelessDeviceFromMulticastGroup IoT sans fil : StartFuotaTask IoT sans fil : StartMulticastGroupSession IoT sans fil : StartNetworkAnalyzerStream IoT sans fil : StartSingleWirelessDeviceImportTask IoT sans fil : StartWirelessDeviceImportTask IoT sans fil : TestWirelessDevice IoT sans fil : UpdateDestination IoT sans fil : UpdateEventConfigurationByResourceTypes IoT sans fil : UpdateFuotaTask IoT sans fil : UpdateLogLevelsByResourceTypes IoT sans fil : UpdateMetricConfiguration IoT sans fil : UpdateMulticastGroup IoT sans fil : UpdateNetworkAnalyzerConfiguration IoT sans fil : UpdatePartnerAccount IoT sans fil : UpdatePosition IoT sans fil : UpdateResourceEventConfiguration IoT sans fil : UpdateResourcePosition IoT sans fil : UpdateWirelessDevice IoT sans fil : UpdateWirelessDeviceImportTask IoT sans fil : UpdateWirelessGateway  | 
| ivs |  vis : BatchGetChannel vis : BatchGetStreamKey vis : BatchStartViewerSessionRevocation vis : CreateChannel vis : CreateEncoderConfiguration vis : CreateIngestConfiguration vis : CreateParticipantToken vis : CreatePlaybackRestrictionPolicy vis : CreateRecordingConfiguration vis : CreateStorageConfiguration vis : CreateStreamKey vis : DeleteChannel vis : DeleteEncoderConfiguration vis : DeleteIngestConfiguration vis : DeletePlaybackKeyPair vis : DeletePlaybackRestrictionPolicy vis : DeletePublicKey vis : DeleteRecordingConfiguration vis : DeleteStorageConfiguration vis : DeleteStreamKey vis : DisconnectParticipant vis : GetChannel vis : GetComposition vis : GetEncoderConfiguration vis : GetIngestConfiguration vis : GetParticipant vis : GetPlaybackKeyPair vis : GetPlaybackRestrictionPolicy vis : GetPublicKey vis : GetRecordingConfiguration vis : GetStorageConfiguration vis : GetStream vis : GetStreamKey vis : GetStreamSession vis : ImportPlaybackKeyPair vis : ImportPublicKey vis : ListChannels vis : ListCompositions vis : ListEncoderConfigurations vis : ListIngestConfigurations vis : ListParticipantEvents vis : ListParticipantReplicas vis : ListParticipants vis : ListPlaybackKeyPairs vis : ListPlaybackRestrictionPolicies vis : ListPublicKeys vis : ListRecordingConfigurations vis : ListStorageConfigurations vis : ListStreamKeys vis : ListStreamSessions vis : ListStreams vis : PutMetadata vis : StartComposition vis : StartViewerSessionRevocation vis : StopComposition vis : StopStream vis : UpdateChannel vis : UpdateIngestConfiguration vis : UpdatePlaybackRestrictionPolicy  | 
| ivschat |  visa : CreateChatToken visa : CreateLoggingConfiguration visa : CreateRoom visa : DeleteLoggingConfiguration visa : DeleteMessage visa : DeleteRoom visa : DisconnectUser visa : GetLoggingConfiguration visa : GetRoom visa : ListLoggingConfigurations visa : ListRooms visa : SendEvent visa : UpdateLoggingConfiguration visa : UpdateRoom  | 
| kafka |  Kafka : BatchAssociateScramSecret Kafka : BatchDisassociateScramSecret Kafka : CreateCluster Source : V2 CreateCluster Kafka : CreateConfiguration Kafka : CreateReplicator Kafka : CreateVpcConnection Kafka : DeleteCluster Kafka : DeleteClusterPolicy Kafka : DeleteConfiguration Kafka : DeleteReplicator Kafka : DeleteVpcConnection Kafka : DescribeCluster Kafka : DescribeClusterOperation Source : V2 DescribeClusterOperation Source : V2 DescribeCluster Kafka : DescribeConfiguration Kafka : DescribeConfigurationRevision Kafka : DescribeVpcConnection Kafka : GetBootstrapBrokers Kafka : GetClusterPolicy Kafka : GetCompatibleKafkaVersions Kafka : ListClientVpcConnections Kafka : ListClusterOperations Source : V2 ListClusterOperations Kafka : ListClusters Source : V2 ListClusters Kafka : ListConfigurationRevisions Kafka : ListConfigurations Kafka : ListKafkaVersions Kafka : ListNodes Kafka : ListReplicators Kafka : ListScramSecrets Kafka : ListVpcConnections Kafka : PutClusterPolicy Kafka : RebootBroker Kafka : RejectClientVpcConnection Kafka : UpdateBrokerCount Kafka : UpdateBrokerStorage Kafka : UpdateBrokerType Kafka : UpdateClusterConfiguration Kafka : UpdateClusterKafkaVersion Kafka : UpdateConfiguration Kafka : UpdateConnectivity Kafka : UpdateMonitoring Kafka : UpdateRebalancing Kafka : UpdateReplicationInfo Kafka : UpdateSecurity Kafka : UpdateStorage  | 
| kafkaconnect |  Kafka Connect : CreateConnector Kafka Connect : CreateCustomPlugin Kafka Connect : CreateWorkerConfiguration Kafka Connect : DeleteConnector Kafka Connect : DeleteCustomPlugin Kafka Connect : DeleteWorkerConfiguration Kafka Connect : DescribeConnector Kafka Connect : DescribeCustomPlugin Kafka Connect : DescribeWorkerConfiguration Kafka Connect : ListConnectorOperations Kafka Connect : ListConnectors Kafka Connect : ListCustomPlugins Kafka Connect : ListWorkerConfigurations Kafka Connect : UpdateConnector  | 
| kendra |  kendra : AssociateEntitiesToExperience kendra : AssociatePersonasToEntities kendra : BatchDeleteDocument kendra : BatchDeleteFeaturedResultsSet kendra : BatchGetDocumentStatus kendra : BatchPutDocument kendra : ClearQuerySuggestions kendra : CreateAccessControlConfiguration kendra : CreateDataSource kendra : CreateExperience kendra : CreateFaq kendra : CreateFeaturedResultsSet kendra : CreateIndex kendra : CreateQuerySuggestionsBlockList kendra : CreateThesaurus kendra : DeleteDataSource kendra : DeleteExperience kendra : DeleteFaq kendra : DeleteIndex kendra : DeletePrincipalMapping kendra : DeleteQuerySuggestionsBlockList kendra : DeleteThesaurus kendra : DescribeAccessControlConfiguration kendra : DescribeDataSource kendra : DescribeExperience kendra : DescribeFaq kendra : DescribeFeaturedResultsSet kendra : DescribeIndex kendra : DescribePrincipalMapping kendra : DescribeQuerySuggestionsBlockList kendra : DescribeQuerySuggestionsConfig kendra : DescribeThesaurus kendra : DisassociateEntitiesFromExperience kendra : DisassociatePersonasFromEntities kendra : GetQuerySuggestions kendra : GetSnapshots kendra : ListAccessControlConfigurations kendra : ListDataSourceSyncJobs kendra : ListDataSources kendra : ListEntityPersonas kendra : ListExperienceEntities kendra : ListExperiences kendra : ListFaqs kendra : ListFeaturedResultsSets kendra : ListGroupsOlderThanOrderingId kendra : ListIndices kendra : ListQuerySuggestionsBlockLists kendra : ListThesauri kendra : PutPrincipalMapping kendra:Query kendra:Retrieve kendra : StartDataSourceSyncJob kendra : StopDataSourceSyncJob kendra : SubmitFeedback kendra : UpdateDataSource kendra : UpdateExperience kendra : UpdateFeaturedResultsSet kendra : UpdateIndex kendra : UpdateQuerySuggestionsBlockList kendra : UpdateQuerySuggestionsConfig kendra : UpdateThesaurus  | 
| kinesis |  kinésie : CreateStream kinésie : DecreaseStreamRetentionPeriod kinésie : DeleteStream kinésie : DeregisterStreamConsumer kinésie : DescribeAccountSettings kinésie : DescribeLimits kinésie : DescribeStream kinésie : DescribeStreamConsumer kinésie : DescribeStreamSummary kinésie : DisableEnhancedMonitoring kinésie : EnableEnhancedMonitoring kinésie : IncreaseStreamRetentionPeriod kinésie : ListShards kinésie : ListStreamConsumers kinésie : ListStreams kinésie : MergeShards kinésie : RegisterStreamConsumer kinésie : SplitShard kinésie : StartStreamEncryption kinésie : StopStreamEncryption kinésie : UpdateAccountSettings kinésie : UpdateShardCount kinésie : UpdateStreamMode  | 
| kinesisanalytics |  Kinesis Analytics : AddApplicationCloudWatchLoggingOption Kinesis Analytics : AddApplicationInput Kinesis Analytics : AddApplicationInputProcessingConfiguration Kinesis Analytics : AddApplicationOutput Kinesis Analytics : AddApplicationReferenceDataSource Kinesis Analytics : AddApplicationVpcConfiguration Kinesis Analytics : CreateApplication Kinesis Analytics : CreateApplicationPresignedUrl Kinesis Analytics : CreateApplicationSnapshot Kinesis Analytics : DeleteApplication Kinesis Analytics : DeleteApplicationCloudWatchLoggingOption Kinesis Analytics : DeleteApplicationInputProcessingConfiguration Kinesis Analytics : DeleteApplicationOutput Kinesis Analytics : DeleteApplicationReferenceDataSource Kinesis Analytics : DeleteApplicationSnapshot Kinesis Analytics : DeleteApplicationVpcConfiguration Kinesis Analytics : DescribeApplication Kinesis Analytics : DescribeApplicationOperation Kinesis Analytics : DescribeApplicationSnapshot Kinesis Analytics : DescribeApplicationVersion Kinesis Analytics : DiscoverInputSchema Kinesis Analytics : ListApplicationOperations Kinesis Analytics : ListApplicationSnapshots Kinesis Analytics : ListApplicationVersions Kinesis Analytics : ListApplications Kinesis Analytics : RollbackApplication Kinesis Analytics : StartApplication Kinesis Analytics : StopApplication Kinesis Analytics : UpdateApplication Kinesis Analytics : UpdateApplicationMaintenanceConfiguration  | 
| kms |  km : CancelKeyDeletion km : ConnectCustomKeyStore km : CreateAlias km : CreateCustomKeyStore km : CreateGrant km : CreateKey kms:Decrypt km : DeleteAlias km : DeleteCustomKeyStore km : DeleteImportedKeyMaterial km : DeriveSharedSecret km : DescribeCustomKeyStores km : DescribeKey km : DisableKey km : DisableKeyRotation km : DisconnectCustomKeyStore km : EnableKey km : EnableKeyRotation kms:Encrypt km : GenerateDataKey km : GenerateDataKeyPair km : GenerateDataKeyPairWithoutPlaintext km : GenerateDataKeyWithoutPlaintext km : GenerateMac km : GenerateRandom km : GetKeyPolicy km : GetKeyRotationStatus km : GetParametersForImport km : GetPublicKey km : ImportKeyMaterial km : ListAliases km : ListGrants km : ListKeyPolicies km : ListKeyRotations km : ListKeys km : ListRetirableGrants km : ReplicateKey km : RetireGrant km : RevokeGrant km : RotateKeyOnDemand km : ScheduleKeyDeletion kms:Sign km : UpdateAlias km : UpdateCustomKeyStore km : UpdateKeyDescription km : UpdatePrimaryRegion kms:Verify km : VerifyMac  | 
| lambda |  lambda : AddLayerVersionPermission lambda : AddPermission lambda : CreateAlias lambda : CreateCodeSigningConfig lambda : CreateEventSourceMapping lambda : CreateFunction lambda : CreateFunctionUrlConfig lambda : DeleteAlias lambda : DeleteCapacityProvider lambda : DeleteCodeSigningConfig lambda : DeleteEventSourceMapping lambda : DeleteFunction lambda : DeleteFunctionCodeSigningConfig lambda : DeleteFunctionConcurrency lambda : DeleteFunctionEventInvokeConfig lambda : DeleteFunctionUrlConfig lambda : DeleteLayerVersion lambda : DeleteProvisionedConcurrencyConfig lambda : GetAccountSettings lambda : GetAlias lambda : GetCapacityProvider lambda : GetCodeSigningConfig lambda : GetEventSourceMapping lambda : GetFunction lambda : GetFunctionCodeSigningConfig lambda : GetFunctionConcurrency lambda : GetFunctionConfiguration lambda : GetFunctionEventInvokeConfig lambda : GetFunctionRecursionConfig lambda : GetFunctionScalingConfig lambda : GetFunctionUrlConfig lambda : GetLayerVersion lambda : GetLayerVersionPolicy lambda : GetPolicy lambda : GetProvisionedConcurrencyConfig lambda : GetRuntimeManagementConfig lambda : ListAliases lambda : ListCapacityProviders lambda : ListCodeSigningConfigs lambda : ListDurableExecutionsByFunction lambda : ListEventSourceMappings lambda : ListFunctionEventInvokeConfigs lambda : ListFunctionUrlConfigs lambda : ListFunctions lambda : ListFunctionsByCodeSigningConfig lambda : ListLayerVersions lambda : ListLayers lambda : ListProvisionedConcurrencyConfigs lambda : ListVersionsByFunction lambda : PublishLayerVersion lambda : PublishVersion lambda : PutFunctionCodeSigningConfig lambda : PutFunctionConcurrency lambda : PutFunctionEventInvokeConfig lambda : PutFunctionRecursionConfig lambda : PutFunctionScalingConfig lambda : PutProvisionedConcurrencyConfig lambda : PutRuntimeManagementConfig lambda : RemoveLayerVersionPermission lambda : RemovePermission lambda : UpdateAlias lambda : UpdateCapacityProvider lambda : UpdateCodeSigningConfig lambda : UpdateEventSourceMapping lambda : UpdateFunctionCode lambda : UpdateFunctionConfiguration lambda : UpdateFunctionEventInvokeConfig lambda : UpdateFunctionUrlConfig  | 
| lex |  Alex : BatchCreateCustomVocabularyItem Alex : BatchDeleteCustomVocabularyItem Alex : BatchUpdateCustomVocabularyItem Alex : BuildBotLocale Alex : CreateBotAlias Alex : CreateBotReplica Alex : CreateBotVersion Alex : CreateExport Alex : CreateIntentVersion Alex : CreateResourcePolicy Alex : CreateSlotTypeVersion Alex : CreateTestSetDiscrepancyReport Alex : CreateUploadUrl Alex : DeleteBot Alex : DeleteBotChannelAssociation Alex : DeleteBotReplica Alex : DeleteExport Alex : DeleteImport Alex : DeleteIntentVersion Alex : DeleteResourcePolicy Alex : DeleteSlotTypeVersion Alex : DeleteTestSet Alex : DeleteUtterances Alex : DescribeBotAlias Alex : DescribeBotRecommendation Alex : DescribeBotReplica Alex : DescribeBotResourceGeneration Alex : DescribeBotVersion Alex : DescribeCustomVocabularyMetadata Alex : DescribeExport Alex : DescribeImport Alex : DescribeResourcePolicy Alex : DescribeTestExecution Alex : DescribeTestSet Alex : DescribeTestSetDiscrepancyReport Alex : DescribeTestSetGeneration Alex : GenerateBotElement Alex : GetBot Alex : GetBotAlias Alex : GetBotAliases Alex : GetBotChannelAssociation Alex : GetBotChannelAssociations Alex : GetBotVersions Alex : GetBots Alex : GetBuiltinIntent Alex : GetBuiltinIntents Alex : GetBuiltinSlotTypes Alex : GetExport Alex : GetImport Alex : GetIntent Alex : GetIntentVersions Alex : GetIntents Alex : GetMigration Alex : GetMigrations Alex : GetSlotType Alex : GetSlotTypeVersions Alex : GetSlotTypes Alex : GetTestExecutionArtifactsUrl Alex : GetUtterancesView Alex : ListBotAliasReplicas Alex : ListBotAliases Alex : ListBotRecommendations Alex : ListBotReplicas Alex : ListBotResourceGenerations Alex : ListBotVersionReplicas Alex : ListBotVersions Alex : ListBots Alex : ListBuiltInIntents Alex : ListBuiltInSlotTypes Alex : ListCustomVocabularyItems Alex : ListExports Alex : ListImports Alex : ListIntentMetrics Alex : ListIntentPaths Alex : ListRecommendedIntents Alex : ListSessionAnalyticsData Alex : ListSessionMetrics Alex : ListTestExecutionResultItems Alex : ListTestExecutions Alex : ListTestSets Alex : PutBot Alex : PutBotAlias Alex : PutIntent Alex : PutSlotType Alex : SearchAssociatedTranscripts Alex : StartBotRecommendation Alex : StartImport Alex : StartMigration Alex : StartTestExecution Alex : StartTestSetGeneration Alex : StopBotRecommendation Alex : UpdateBotAlias Alex : UpdateBotRecommendation Alex : UpdateExport Alex : UpdateResourcePolicy  | 
| license-manager-linux-subscriptions |  license-manager-linux-subscriptions:DeregisterSubscriptionProvider license-manager-linux-subscriptions:GetRegisteredSubscriptionProvider license-manager-linux-subscriptions:GetServiceSettings license-manager-linux-subscriptions:ListLinuxSubscriptionInstances license-manager-linux-subscriptions:ListLinuxSubscriptions license-manager-linux-subscriptions:ListRegisteredSubscriptionProviders license-manager-linux-subscriptions:RegisterSubscriptionProvider license-manager-linux-subscriptions:UpdateServiceSettings  | 
| lightsail |  voile lumineuse : AllocateStaticIp voile lumineuse : AttachCertificateToDistribution voile lumineuse : AttachDisk voile lumineuse : AttachInstancesToLoadBalancer voile lumineuse : AttachLoadBalancerTlsCertificate voile lumineuse : AttachStaticIp voile lumineuse : CloseInstancePublicPorts voile lumineuse : CopySnapshot voile lumineuse : CreateBucket voile lumineuse : CreateBucketAccessKey voile lumineuse : CreateCertificate voile lumineuse : CreateCloudFormationStack voile lumineuse : CreateContactMethod voile lumineuse : CreateContainerService voile lumineuse : CreateContainerServiceDeployment voile lumineuse : CreateContainerServiceRegistryLogin voile lumineuse : CreateDisk voile lumineuse : CreateDiskFromSnapshot voile lumineuse : CreateDiskSnapshot voile lumineuse : CreateDistribution voile lumineuse : CreateDomain LightSail : créer GUISession AccessDetails voile lumineuse : CreateInstanceSnapshot voile lumineuse : CreateInstances voile lumineuse : CreateInstancesFromSnapshot voile lumineuse : CreateKeyPair voile lumineuse : CreateLoadBalancer voile lumineuse : CreateLoadBalancerTlsCertificate voile lumineuse : CreateRelationalDatabase voile lumineuse : CreateRelationalDatabaseFromSnapshot voile lumineuse : CreateRelationalDatabaseSnapshot voile lumineuse : DeleteAlarm voile lumineuse : DeleteAutoSnapshot voile lumineuse : DeleteBucket voile lumineuse : DeleteBucketAccessKey voile lumineuse : DeleteCertificate voile lumineuse : DeleteContactMethod voile lumineuse : DeleteContainerImage voile lumineuse : DeleteContainerService voile lumineuse : DeleteDisk voile lumineuse : DeleteDiskSnapshot voile lumineuse : DeleteDistribution voile lumineuse : DeleteDomain voile lumineuse : DeleteDomainEntry voile lumineuse : DeleteInstance voile lumineuse : DeleteInstanceSnapshot voile lumineuse : DeleteKeyPair voile lumineuse : DeleteKnownHostKeys voile lumineuse : DeleteLoadBalancer voile lumineuse : DeleteLoadBalancerTlsCertificate voile lumineuse : DeleteRelationalDatabase voile lumineuse : DeleteRelationalDatabaseSnapshot voile lumineuse : DetachCertificateFromDistribution voile lumineuse : DetachDisk voile lumineuse : DetachInstancesFromLoadBalancer voile lumineuse : DetachStaticIp voile lumineuse : DisableAddOn voile lumineuse : DownloadDefaultKeyPair voile lumineuse : EnableAddOn voile lumineuse : ExportSnapshot voile lumineuse : GetActiveNames voile lumineuse : GetAlarms voile lumineuse : GetAutoSnapshots voile lumineuse : GetBlueprints voile lumineuse : GetBucketAccessKeys voile lumineuse : GetBucketBundles voile lumineuse : GetBucketMetricData voile lumineuse : GetBuckets voile lumineuse : GetBundles voile lumineuse : GetCertificates voile lumineuse : GetCloudFormationStackRecords voile lumineuse : GetContactMethods voile lumineuse : GetContainer APIMetadata voile lumineuse : GetContainerImages voile lumineuse : GetContainerLog voile lumineuse : GetContainerServiceDeployments voile lumineuse : GetContainerServiceMetricData voile lumineuse : GetContainerServicePowers voile lumineuse : GetContainerServices voile lumineuse : GetCostEstimate voile lumineuse : GetDisk voile lumineuse : GetDiskSnapshot voile lumineuse : GetDiskSnapshots voile lumineuse : GetDisks voile lumineuse : GetDistributionBundles voile lumineuse : GetDistributionLatestCacheReset voile lumineuse : GetDistributionMetricData voile lumineuse : GetDistributions voile lumineuse : GetDomain voile lumineuse : GetExportSnapshotRecords voile lumineuse : GetInstance voile lumineuse : GetInstanceMetricData voile lumineuse : GetInstancePortStates voile lumineuse : GetInstanceSnapshot voile lumineuse : GetInstanceSnapshots voile lumineuse : GetInstanceState voile lumineuse : GetInstances voile lumineuse : GetKeyPair voile lumineuse : GetKeyPairs voile lumineuse : GetLoadBalancer voile lumineuse : GetLoadBalancerMetricData voile lumineuse : GetLoadBalancerTlsCertificates voile lumineuse : GetLoadBalancerTlsPolicies voile lumineuse : GetLoadBalancers voile lumineuse : GetOperation voile lumineuse : GetOperations voile lumineuse : GetOperationsForResource voile lumineuse : GetRegions voile lumineuse : GetRelationalDatabase voile lumineuse : GetRelationalDatabaseBlueprints voile lumineuse : GetRelationalDatabaseBundles voile lumineuse : GetRelationalDatabaseEvents voile lumineuse : GetRelationalDatabaseLogEvents voile lumineuse : GetRelationalDatabaseLogStreams voile lumineuse : GetRelationalDatabaseMasterUserPassword voile lumineuse : GetRelationalDatabaseMetricData voile lumineuse : GetRelationalDatabaseParameters voile lumineuse : GetRelationalDatabaseSnapshot voile lumineuse : GetRelationalDatabaseSnapshots voile lumineuse : GetRelationalDatabases voile lumineuse : GetSetupHistory voile lumineuse : GetStaticIp voile lumineuse : GetStaticIps voile lumineuse : ImportKeyPair voile lumineuse : IsVpcPeered voile lumineuse : OpenInstancePublicPorts voile lumineuse : PeerVpc voile lumineuse : PutAlarm voile lumineuse : PutInstancePublicPorts voile lumineuse : RebootInstance voile lumineuse : RebootRelationalDatabase voile lumineuse : RegisterContainerImage voile lumineuse : ReleaseStaticIp voile lumineuse : ResetDistributionCache voile lumineuse : SendContactMethodVerification voile lumineuse : SetIpAddressType voile lumineuse : SetResourceAccessForBucket voile lumineuse : SetupInstanceHttps Light Sail : démarrer GUISession voile lumineuse : StartInstance voile lumineuse : StartRelationalDatabase Light Sail : arrêt GUISession voile lumineuse : StopInstance voile lumineuse : StopRelationalDatabase voile lumineuse : TestAlarm voile lumineuse : UnpeerVpc voile lumineuse : UpdateBucket voile lumineuse : UpdateBucketBundle voile lumineuse : UpdateContainerService voile lumineuse : UpdateDistribution voile lumineuse : UpdateDistributionBundle voile lumineuse : UpdateDomainEntry voile lumineuse : UpdateInstanceMetadataOptions voile lumineuse : UpdateLoadBalancerAttribute voile lumineuse : UpdateRelationalDatabase voile lumineuse : UpdateRelationalDatabaseParameters  | 
| journaux |  journaux : AssociateKmsKey journaux : AssociateSourceTo S3 TableIntegration journaux : CancelExportTask journaux : CancelImportTask journaux : CreateDelivery journaux : CreateExportTask journaux : CreateLogAnomalyDetector journaux : CreateLogGroup journaux : CreateLogStream journaux : DeleteDataProtectionPolicy journaux : DeleteDelivery journaux : DeleteDeliveryDestination journaux : DeleteDeliveryDestinationPolicy journaux : DeleteDeliverySource journaux : DeleteDestination journaux : DeleteIndexPolicy journaux : DeleteIntegration journaux : DeleteLogAnomalyDetector journaux : DeleteLogGroup journaux : DeleteLogStream journaux : DeleteMetricFilter journaux : DeleteQueryDefinition journaux : DeleteResourcePolicy journaux : DeleteRetentionPolicy journaux : DeleteScheduledQuery journaux : DeleteSubscriptionFilter journaux : DeleteTransformer journaux : DescribeAccountPolicies journaux : DescribeConfigurationTemplates journaux : DescribeDeliveries journaux : DescribeDeliveryDestinations journaux : DescribeDeliverySources journaux : DescribeDestinations journaux : DescribeExportTasks journaux : DescribeFieldIndexes journaux : DescribeImportTaskBatches journaux : DescribeImportTasks journaux : DescribeIndexPolicies journaux : DescribeLogGroups journaux : DescribeLogStreams journaux : DescribeMetricFilters journaux : DescribeQueries journaux : DescribeQueryDefinitions journaux : DescribeResourcePolicies journaux : DescribeSubscriptionFilters journaux : DisassociateKmsKey journaux : DisassociateSourceFrom S3 TableIntegration journaux : GetDataProtectionPolicy journaux : GetDelivery journaux : GetDeliveryDestination journaux : GetDeliveryDestinationPolicy journaux : GetDeliverySource journaux : GetIntegration journaux : GetLogAnomalyDetector journaux : GetLogFields journaux : GetLogGroupFields journaux : GetLogRecord journaux : GetQueryResults journaux : GetScheduledQuery journaux : GetScheduledQueryHistory journaux : GetTransformer journaux : IntegrateWith S3Table journaux : ListAnomalies journaux : ListIntegrations journaux : ListLogAnomalyDetectors journaux : ListLogGroupsForQuery journaux : ListScheduledQueries journaux : ListSourcesFor S3 TableIntegration journaux : ProcessWithPipeline journaux : PutDataProtectionPolicy journaux : PutDeliveryDestination journaux : PutDeliveryDestinationPolicy journaux : PutDeliverySource journaux : PutDestination journaux : PutDestinationPolicy journaux : PutIndexPolicy journaux : PutIntegration journaux : PutLogGroupDeletionProtection journaux : PutMetricFilter journaux : PutQueryDefinition journaux : PutResourcePolicy journaux : PutRetentionPolicy journaux : PutSubscriptionFilter journaux : PutTransformer journaux : StartLiveTail journaux : StartQuery journaux : StopQuery journaux : TestMetricFilter journaux : TestTransformer journaux : UpdateAnomaly journaux : UpdateDeliveryConfiguration journaux : UpdateLogAnomalyDetector  | 
| lookoutequipment |  équipement de surveillance : CreateDataset équipement de surveillance : CreateInferenceScheduler équipement de surveillance : CreateLabel équipement de surveillance : CreateLabelGroup équipement de surveillance : CreateModel équipement de surveillance : DeleteDataset équipement de surveillance : DeleteInferenceScheduler équipement de surveillance : DeleteLabel équipement de surveillance : DeleteLabelGroup équipement de surveillance : DeleteModel équipement de surveillance : DeleteResourcePolicy équipement de surveillance : DeleteRetrainingScheduler équipement de surveillance : DescribeDataIngestionJob équipement de surveillance : DescribeDataset équipement de surveillance : DescribeInferenceScheduler équipement de surveillance : DescribeLabelGroup équipement de surveillance : DescribeModel équipement de surveillance : DescribeModelVersion équipement de surveillance : DescribeResourcePolicy équipement de surveillance : DescribeRetrainingScheduler lookoutequipment:Describelabel équipement de surveillance : ImportDataset équipement de surveillance : ImportModelVersion équipement de surveillance : ListDataIngestionJobs équipement de surveillance : ListDatasets équipement de surveillance : ListInferenceEvents équipement de surveillance : ListInferenceExecutions équipement de surveillance : ListInferenceSchedulers équipement de surveillance : ListLabelGroups équipement de surveillance : ListLabels équipement de surveillance : ListModelVersions équipement de surveillance : ListModels équipement de surveillance : ListRetrainingSchedulers équipement de surveillance : ListSensorStatistics équipement de surveillance : PutResourcePolicy équipement de surveillance : StartDataIngestionJob équipement de surveillance : StartInferenceScheduler équipement de surveillance : StartRetrainingScheduler équipement de surveillance : StopInferenceScheduler équipement de surveillance : StopRetrainingScheduler équipement de surveillance : UpdateActiveModelVersion équipement de surveillance : UpdateInferenceScheduler équipement de surveillance : UpdateLabelGroup équipement de surveillance : UpdateModel équipement de surveillance : UpdateRetrainingScheduler  | 
| lookoutmetrics |  Métriques de surveillance : ActivateAnomalyDetector Métriques de surveillance : BackTestAnomalyDetector Métriques de surveillance : CreateAlert Métriques de surveillance : CreateAnomalyDetector Métriques de surveillance : CreateMetricSet Métriques de surveillance : DeactivateAnomalyDetector Métriques de surveillance : DeleteAlert Métriques de surveillance : DeleteAnomalyDetector Métriques de surveillance : DescribeAlert Métriques de surveillance : DescribeAnomalyDetectionExecutions Métriques de surveillance : DescribeAnomalyDetector Métriques de surveillance : DescribeMetricSet Métriques de surveillance : DetectMetricSetConfig Métriques de surveillance : GetAnomalyGroup Métriques de surveillance : GetDataQualityMetrics Métriques de surveillance : GetFeedback Métriques de surveillance : GetSampleData Métriques de surveillance : ListAlerts Métriques de surveillance : ListAnomalyDetectors Métriques de surveillance : ListAnomalyGroupRelatedMetrics Métriques de surveillance : ListAnomalyGroupSummaries Métriques de surveillance : ListAnomalyGroupTimeSeries Métriques de surveillance : ListMetricSets Métriques de surveillance : PutFeedback Métriques de surveillance : UpdateAlert Métriques de surveillance : UpdateAnomalyDetector Métriques de surveillance : UpdateMetricSet  | 
| lookoutvision |  vision de l'œil : CreateDataset vision de l'œil : CreateModel vision de l'œil : CreateProject vision de l'œil : DeleteDataset vision de l'œil : DeleteModel vision de l'œil : DeleteProject vision de l'œil : DescribeDataset vision de l'œil : DescribeModel vision de l'œil : DescribeModelPackagingJob vision de l'œil : DescribeProject vision de l'œil : DetectAnomalies vision de l'œil : ListDatasetEntries vision de l'œil : ListModelPackagingJobs vision de l'œil : ListModels vision de l'œil : ListProjects vision de l'œil : StartModel vision de l'œil : StartModelPackagingJob vision de l'œil : StopModel vision de l'œil : UpdateDatasetEntries  | 
| m2 |  m2 : CancelBatchJobExecution m2 : CreateApplication m2 : CreateDataSetExportTask m2 : CreateDataSetImportTask m2 : CreateDeployment m2 : CreateEnvironment m2 : DeleteApplication m2 : DeleteApplicationFromEnvironment m2 : DeleteEnvironment m2 : GetApplication m2 : GetApplicationVersion m2 : GetBatchJobExecution m2 : GetDataSetDetails m2 : GetDataSetExportTask m2 : GetDataSetImportTask m2 : GetDeployment m2 : GetEnvironment m2 : GetSignedBluinsightsUrl m2 : ListApplicationVersions m2 : ListApplications m2 : ListBatchJobDefinitions m2 : ListBatchJobExecutions m2 : ListBatchJobRestartPoints m2 : ListDataSetExportHistory m2 : ListDataSetImportHistory m2 : ListDataSets m2 : ListDeployments m2 : ListEngineVersions m2 : ListEnvironments m2 : StartApplication m2 : StartBatchJob m2 : StopApplication m2 : UpdateApplication m2 : UpdateEnvironment  | 
| managedblockchain |  blockchain gérée : CreateAccessor blockchain gérée : CreateMember blockchain gérée : CreateNetwork blockchain gérée : CreateNode blockchain gérée : CreateProposal blockchain gérée : DeleteAccessor blockchain gérée : DeleteMember blockchain gérée : DeleteNode blockchain gérée : GetAccessor blockchain gérée : GetMember blockchain gérée : GetNetwork blockchain gérée : GetNode blockchain gérée : GetProposal blockchain gérée : InvokeRpcPolygonMainnet blockchain gérée : InvokeRpcPolygonMumbaiTestnet blockchain gérée : ListAccessors blockchain gérée : ListInvitations blockchain gérée : ListMembers blockchain gérée : ListNetworks blockchain gérée : ListNodes blockchain gérée : ListProposalVotes blockchain gérée : ListProposals blockchain gérée : RejectInvitation blockchain gérée : UpdateMember blockchain gérée : UpdateNode blockchain gérée : VoteOnProposal  | 
| mediaconnect |  connexion multimédia : AddBridgeOutputs connexion multimédia : AddBridgeSources connexion multimédia : AddFlowMediaStreams connexion multimédia : AddFlowOutputs connexion multimédia : AddFlowSources connexion multimédia : AddFlowVpcInterfaces connexion multimédia : CreateBridge connexion multimédia : CreateFlow connexion multimédia : CreateGateway connexion multimédia : DeleteBridge connexion multimédia : DeleteFlow connexion multimédia : DeleteGateway connexion multimédia : DeleteRouterInput connexion multimédia : DeleteRouterNetworkInterface connexion multimédia : DeleteRouterOutput connexion multimédia : DeregisterGatewayInstance connexion multimédia : DescribeBridge connexion multimédia : DescribeFlow connexion multimédia : DescribeFlowSourceMetadata connexion multimédia : DescribeFlowSourceThumbnail connexion multimédia : DescribeGateway connexion multimédia : DescribeGatewayInstance connexion multimédia : DescribeOffering connexion multimédia : DescribeReservation connexion multimédia : GetRouterInput connexion multimédia : GetRouterInputSourceMetadata connexion multimédia : GetRouterInputThumbnail connexion multimédia : GetRouterNetworkInterface connexion multimédia : GetRouterOutput connexion multimédia : GrantFlowEntitlements connexion multimédia : ListBridges connexion multimédia : ListEntitlements connexion multimédia : ListFlows connexion multimédia : ListGatewayInstances connexion multimédia : ListGateways connexion multimédia : ListOfferings connexion multimédia : ListReservations connexion multimédia : ListRouterInputs connexion multimédia : ListRouterNetworkInterfaces connexion multimédia : ListRouterOutputs connexion multimédia : PurchaseOffering connexion multimédia : RemoveBridgeOutput connexion multimédia : RemoveBridgeSource connexion multimédia : RemoveFlowMediaStream connexion multimédia : RemoveFlowOutput connexion multimédia : RemoveFlowSource connexion multimédia : RemoveFlowVpcInterface connexion multimédia : RestartRouterInput connexion multimédia : RestartRouterOutput connexion multimédia : RevokeFlowEntitlement connexion multimédia : StartFlow connexion multimédia : StartRouterInput connexion multimédia : StartRouterOutput connexion multimédia : StopFlow connexion multimédia : StopRouterInput connexion multimédia : StopRouterOutput connexion multimédia : TakeRouterInput connexion multimédia : UpdateBridge connexion multimédia : UpdateBridgeOutput connexion multimédia : UpdateBridgeSource connexion multimédia : UpdateBridgeState connexion multimédia : UpdateFlow connexion multimédia : UpdateFlowEntitlement connexion multimédia : UpdateFlowMediaStream connexion multimédia : UpdateGatewayInstance  | 
| mediaconvert |  conversion multimédia : AssociateCertificate conversion multimédia : CancelJob conversion multimédia : CreateJob conversion multimédia : CreateJobTemplate conversion multimédia : CreatePreset conversion multimédia : CreateQueue conversion multimédia : CreateResourceShare conversion multimédia : DeleteJobTemplate conversion multimédia : DeletePolicy conversion multimédia : DeletePreset conversion multimédia : DeleteQueue conversion multimédia : DescribeEndpoints conversion multimédia : DisassociateCertificate conversion multimédia : GetJob conversion multimédia : GetJobTemplate conversion multimédia : GetPolicy conversion multimédia : GetPreset conversion multimédia : GetQueue conversion multimédia : ListJobTemplates conversion multimédia : ListJobs conversion multimédia : ListPresets conversion multimédia : ListQueues conversion multimédia : ListVersions mediaconvert:Probe conversion multimédia : PutPolicy conversion multimédia : SearchJobs conversion multimédia : UpdateJobTemplate conversion multimédia : UpdatePreset conversion multimédia : UpdateQueue  | 
| medialive |  MediaLive : AcceptInputDeviceTransfer MediaLive : BatchDelete MediaLive : BatchStart MediaLive : BatchStop MediaLive : BatchUpdateSchedule MediaLive : CancelInputDeviceTransfer MediaLive : ClaimDevice MediaLive : CreateChannel MediaLive : CreateChannelPlacementGroup MediaLive : CreateCloudWatchAlarmTemplate MediaLive : CreateCloudWatchAlarmTemplateGroup MediaLive : CreateCluster MediaLive : CreateEventBridgeRuleTemplate MediaLive : CreateEventBridgeRuleTemplateGroup MediaLive : CreateInput MediaLive : CreateInputSecurityGroup MediaLive : CreateMultiplex MediaLive : CreateMultiplexProgram MediaLive : CreateNetwork MediaLive : CreateNode MediaLive : CreateNodeRegistrationScript MediaLive : CreatePartnerInput MediaLive : CreateSdiSource MediaLive : CreateSignalMap MediaLive : DeleteChannel MediaLive : DeleteChannelPlacementGroup MediaLive : DeleteCloudWatchAlarmTemplate MediaLive : DeleteCloudWatchAlarmTemplateGroup MediaLive : DeleteCluster MediaLive : DeleteEventBridgeRuleTemplate MediaLive : DeleteEventBridgeRuleTemplateGroup MediaLive : DeleteInput MediaLive : DeleteInputSecurityGroup MediaLive : DeleteMultiplex MediaLive : DeleteMultiplexProgram MediaLive : DeleteNetwork MediaLive : DeleteNode MediaLive : DeleteReservation MediaLive : DeleteSchedule MediaLive : DeleteSdiSource MediaLive : DeleteSignalMap MediaLive : DescribeAccountConfiguration MediaLive : DescribeChannel MediaLive : DescribeChannelPlacementGroup MediaLive : DescribeCluster MediaLive : DescribeInput MediaLive : DescribeInputDevice MediaLive : DescribeInputDeviceThumbnail MediaLive : DescribeInputSecurityGroup MediaLive : DescribeMultiplex MediaLive : DescribeMultiplexProgram MediaLive : DescribeNetwork MediaLive : DescribeNode MediaLive : DescribeOffering MediaLive : DescribeReservation MediaLive : DescribeSchedule MediaLive : DescribeSdiSource MediaLive : DescribeThumbnails MediaLive : GetCloudWatchAlarmTemplate MediaLive : GetCloudWatchAlarmTemplateGroup MediaLive : GetEventBridgeRuleTemplate MediaLive : GetEventBridgeRuleTemplateGroup MediaLive : GetSignalMap MediaLive : ListAlerts MediaLive : ListChannelPlacementGroups MediaLive : ListChannels MediaLive : ListCloudWatchAlarmTemplateGroups MediaLive : ListCloudWatchAlarmTemplates MediaLive : ListClusterAlerts MediaLive : ListClusters MediaLive : ListEventBridgeRuleTemplateGroups MediaLive : ListEventBridgeRuleTemplates MediaLive : ListInputDeviceTransfers MediaLive : ListInputDevices MediaLive : ListInputSecurityGroups MediaLive : ListInputs MediaLive : ListMultiplexAlerts MediaLive : ListMultiplexPrograms MediaLive : ListMultiplexes MediaLive : ListNetworks MediaLive : ListNodes MediaLive : ListOfferings MediaLive : ListReservations MediaLive : ListSdiSources MediaLive : ListSignalMaps MediaLive : ListVersions MediaLive : PurchaseOffering MediaLive : RebootInputDevice MediaLive : RejectInputDeviceTransfer MediaLive : RestartChannelPipelines MediaLive : StartChannel MediaLive : StartDeleteMonitorDeployment MediaLive : StartInputDevice MediaLive : StartInputDeviceMaintenanceWindow MediaLive : StartMonitorDeployment MediaLive : StartMultiplex MediaLive : StartUpdateSignalMap MediaLive : StopChannel MediaLive : StopInputDevice MediaLive : StopMultiplex MediaLive : TransferInputDevice MediaLive : UpdateAccountConfiguration MediaLive : UpdateChannel MediaLive : UpdateChannelClass MediaLive : UpdateChannelPlacementGroup MediaLive : UpdateCloudWatchAlarmTemplate MediaLive : UpdateCloudWatchAlarmTemplateGroup MediaLive : UpdateCluster MediaLive : UpdateEventBridgeRuleTemplate MediaLive : UpdateEventBridgeRuleTemplateGroup MediaLive : UpdateInput MediaLive : UpdateInputDevice MediaLive : UpdateInputSecurityGroup MediaLive : UpdateMultiplex MediaLive : UpdateMultiplexProgram MediaLive : UpdateNetwork MediaLive : UpdateNode MediaLive : UpdateNodeState MediaLive : UpdateReservation MediaLive : UpdateSdiSource  | 
| mediastore |  magasin de médias : CreateContainer magasin de médias : DeleteContainer magasin de médias : DeleteContainerPolicy magasin de médias : DeleteCorsPolicy magasin de médias : DeleteLifecyclePolicy magasin de médias : DeleteMetricPolicy magasin de médias : DescribeContainer magasin de médias : GetContainerPolicy magasin de médias : GetCorsPolicy magasin de médias : GetLifecyclePolicy magasin de médias : GetMetricPolicy magasin de médias : ListContainers magasin de médias : PutContainerPolicy magasin de médias : PutCorsPolicy magasin de médias : PutLifecyclePolicy magasin de médias : PutMetricPolicy magasin de médias : StartAccessLogging magasin de médias : StopAccessLogging  | 
| mediatailor |  tailleur multimédia : ConfigureLogsForPlaybackConfiguration tailleur multimédia : CreateChannel tailleur multimédia : CreateLiveSource tailleur multimédia : CreatePrefetchSchedule tailleur multimédia : CreateProgram tailleur multimédia : CreateSourceLocation tailleur multimédia : CreateVodSource tailleur multimédia : DeleteChannel tailleur multimédia : DeleteChannelPolicy tailleur multimédia : DeleteLiveSource tailleur multimédia : DeletePlaybackConfiguration tailleur multimédia : DeletePrefetchSchedule tailleur multimédia : DeleteProgram tailleur multimédia : DeleteSourceLocation tailleur multimédia : DeleteVodSource tailleur multimédia : DescribeChannel tailleur multimédia : DescribeLiveSource tailleur multimédia : DescribeProgram tailleur multimédia : DescribeSourceLocation tailleur multimédia : DescribeVodSource tailleur multimédia : GetChannelPolicy tailleur multimédia : GetChannelSchedule tailleur multimédia : GetPlaybackConfiguration tailleur multimédia : GetPrefetchSchedule tailleur multimédia : ListAlerts tailleur multimédia : ListChannels tailleur multimédia : ListLiveSources tailleur multimédia : ListPlaybackConfigurations tailleur multimédia : ListPrefetchSchedules tailleur multimédia : ListSourceLocations tailleur multimédia : ListVodSources tailleur multimédia : PutChannelPolicy tailleur multimédia : PutPlaybackConfiguration tailleur multimédia : StartChannel tailleur multimédia : StopChannel tailleur multimédia : UpdateChannel tailleur multimédia : UpdateLiveSource tailleur multimédia : UpdateProgram tailleur multimédia : UpdateSourceLocation tailleur multimédia : UpdateVodSource  | 
| base de données de mémoire |  base de données de mémoire : BatchUpdateCluster base de données de mémoire : CopySnapshot base de données de mémoire : CreateAcl base de données de mémoire : CreateCluster base de données de mémoire : CreateMultiRegionCluster base de données de mémoire : CreateParameterGroup base de données de mémoire : CreateSnapshot base de données de mémoire : CreateSubnetGroup base de données de mémoire : CreateUser base de données de mémoire : DeleteAcl base de données de mémoire : DeleteCluster base de données de mémoire : DeleteMultiRegionCluster base de données de mémoire : DeleteParameterGroup base de données de mémoire : DeleteSnapshot base de données de mémoire : DeleteSubnetGroup base de données de mémoire : DeleteUser base de données de mémoire : DescribeAcls base de données de mémoire : DescribeClusters base de données de mémoire : DescribeEngineVersions base de données de mémoire : DescribeEvents base de données de mémoire : DescribeMultiRegionClusters base de données de mémoire : DescribeMultiRegionParameterGroups base de données de mémoire : DescribeMultiRegionParameters base de données de mémoire : DescribeParameterGroups base de données de mémoire : DescribeParameters base de données de mémoire : DescribeReservedNodes base de données de mémoire : DescribeReservedNodesOfferings base de données de mémoire : DescribeServiceUpdates base de données de mémoire : DescribeSnapshots base de données de mémoire : DescribeSubnetGroups base de données de mémoire : DescribeUsers base de données de mémoire : FailoverShard base de données de mémoire : ListAllowedMultiRegionClusterUpdates base de données de mémoire : ListAllowedNodeTypeUpdates base de données de mémoire : PurchaseReservedNodesOffering base de données de mémoire : ResetParameterGroup base de données de mémoire : UpdateAcl base de données de mémoire : UpdateCluster base de données de mémoire : UpdateMultiRegionCluster base de données de mémoire : UpdateParameterGroup base de données de mémoire : UpdateSubnetGroup base de données de mémoire : UpdateUser  | 
| mgh |  mgh : AssociateCreatedArtifact mgh : AssociateDiscoveredResource mgh : AssociateSourceResource mgh : CreateHomeRegionControl mgh : CreateProgressUpdateStream mgh : DeleteHomeRegionControl mgh : DeleteProgressUpdateStream mgh : DescribeApplicationState mgh : DescribeHomeRegionControls mgh : DescribeMigrationTask mgh : DisassociateCreatedArtifact mgh : DisassociateDiscoveredResource mgh : DisassociateSourceResource mgh : GetHomeRegion mgh : ImportMigrationTask mgh : ListApplicationStates mgh : ListCreatedArtifacts mgh : ListDiscoveredResources mgh : ListMigrationTaskUpdates mgh : ListMigrationTasks mgh : ListProgressUpdateStreams mgh : ListSourceResources mgh : NotifyApplicationState mgh : NotifyMigrationTaskState mgh : PutResourceAttributes  | 
| mgn |  mitrailleuse : ArchiveApplication mitrailleuse : ArchiveWave mitrailleuse : AssociateApplications mitrailleuse : AssociateSourceServers mitrailleuse : ChangeServerLifeCycleState mitrailleuse : CreateApplication mitrailleuse : CreateConnector mitrailleuse : CreateLaunchConfigurationTemplate mitrailleuse : CreateReplicationConfigurationTemplate mitrailleuse : CreateWave mitrailleuse : DeleteApplication mitrailleuse : DeleteConnector mitrailleuse : DeleteJob mitrailleuse : DeleteLaunchConfigurationTemplate mitrailleuse : DeleteReplicationConfigurationTemplate mitrailleuse : DeleteSourceServer mitrailleuse : DeleteVcenterClient mitrailleuse : DeleteWave mitrailleuse : DescribeJobLogItems mitrailleuse : DescribeJobs mitrailleuse : DescribeLaunchConfigurationTemplates mitrailleuse : DescribeReplicationConfigurationTemplates mitrailleuse : DescribeVcenterClients mitrailleuse : DisassociateApplications mitrailleuse : DisassociateSourceServers mitrailleuse : DisconnectFromService mitrailleuse : FinalizeCutover mitrailleuse : GetReplicationConfiguration mitrailleuse : InitializeService mitrailleuse : ListConnectors mitrailleuse : ListExportErrors mitrailleuse : ListExports mitrailleuse : ListImportErrors mitrailleuse : ListImports mitrailleuse : ListManagedAccounts mitrailleuse : ListSourceServerActions mitrailleuse : ListTemplateActions mitrailleuse : MarkAsArchived mitrailleuse : PauseReplication mitrailleuse : PutSourceServerAction mitrailleuse : PutTemplateAction mitrailleuse : RemoveSourceServerAction mitrailleuse : RemoveTemplateAction mitrailleuse : ResumeReplication mitrailleuse : RetryDataReplication mitrailleuse : StartCutover mitrailleuse : StartExport mitrailleuse : StartImport mitrailleuse : StartReplication mitrailleuse : StartTest mitrailleuse : StopReplication mitrailleuse : TerminateTargetInstances mitrailleuse : UnarchiveApplication mitrailleuse : UnarchiveWave mitrailleuse : UpdateApplication mitrailleuse : UpdateConnector mitrailleuse : UpdateLaunchConfigurationTemplate mitrailleuse : UpdateReplicationConfiguration mitrailleuse : UpdateReplicationConfigurationTemplate mitrailleuse : UpdateSourceServer mitrailleuse : UpdateSourceServerReplicationType mitrailleuse : UpdateWave  | 
| migrationhub-strategy |  stratégie du pôle migratoire : GetAntiPattern stratégie du pôle migratoire : GetApplicationComponentDetails stratégie du pôle migratoire : GetApplicationComponentStrategies stratégie du pôle migratoire : GetAssessment stratégie du pôle migratoire : GetImportFileTask stratégie du pôle migratoire : GetLatestAssessmentId stratégie du pôle migratoire : GetMessage stratégie du pôle migratoire : GetPortfolioPreferences stratégie du pôle migratoire : GetPortfolioSummary stratégie du pôle migratoire : GetRecommendationReportDetails stratégie du pôle migratoire : GetServerDetails stratégie du pôle migratoire : GetServerStrategies stratégie du pôle migratoire : ListAnalyzableServers stratégie du pôle migratoire : ListAntiPatterns stratégie du pôle migratoire : ListApplicationComponents stratégie du pôle migratoire : ListCollectors stratégie du pôle migratoire : ListImportFileTask stratégie du pôle migratoire : ListJarArtifacts stratégie du pôle migratoire : ListServers stratégie du pôle migratoire : PutLogData stratégie du pôle migratoire : PutMetricData stratégie du pôle migratoire : PutPortfolioPreferences stratégie du pôle migratoire : RegisterCollector stratégie du pôle migratoire : SendMessage stratégie du pôle migratoire : StartAssessment stratégie du pôle migratoire : StartImportFileTask stratégie du pôle migratoire : StartRecommendationReportGeneration stratégie du pôle migratoire : StopAssessment stratégie du pôle migratoire : UpdateApplicationComponentConfig stratégie du pôle migratoire : UpdateCollectorConfiguration stratégie du pôle migratoire : UpdateServerConfig  | 
| mobiletargeting |  ciblage mobile : CreateApp ciblage mobile : CreateCampaign ciblage mobile : CreateEmailTemplate ciblage mobile : CreateExportJob ciblage mobile : CreateImportJob ciblage mobile : CreateInAppTemplate ciblage mobile : CreateJourney ciblage mobile : CreatePushTemplate ciblage mobile : CreateRecommenderConfiguration ciblage mobile : CreateSegment ciblage mobile : CreateSmsTemplate ciblage mobile : CreateVoiceTemplate ciblage mobile : DeleteAdmChannel ciblage mobile : DeleteApnsChannel ciblage mobile : DeleteApnsSandboxChannel ciblage mobile : DeleteApnsVoipChannel ciblage mobile : DeleteApnsVoipSandboxChannel ciblage mobile : DeleteApp ciblage mobile : DeleteBaiduChannel ciblage mobile : DeleteCampaign ciblage mobile : DeleteEmailChannel ciblage mobile : DeleteEmailTemplate ciblage mobile : DeleteEndpoint ciblage mobile : DeleteEventStream ciblage mobile : DeleteGcmChannel ciblage mobile : DeleteInAppTemplate ciblage mobile : DeleteJourney ciblage mobile : DeletePushTemplate ciblage mobile : DeleteRecommenderConfiguration ciblage mobile : DeleteSegment ciblage mobile : DeleteSmsChannel ciblage mobile : DeleteSmsTemplate ciblage mobile : DeleteUserEndpoints ciblage mobile : DeleteVoiceChannel ciblage mobile : DeleteVoiceTemplate ciblage mobile : GetAdmChannel ciblage mobile : GetApnsChannel ciblage mobile : GetApnsSandboxChannel ciblage mobile : GetApnsVoipChannel ciblage mobile : GetApnsVoipSandboxChannel ciblage mobile : GetApp ciblage mobile : GetApplicationDateRangeKpi ciblage mobile : GetApplicationSettings ciblage mobile : GetApps ciblage mobile : GetBaiduChannel ciblage mobile : GetCampaign ciblage mobile : GetCampaignActivities ciblage mobile : GetCampaignDateRangeKpi ciblage mobile : GetCampaignVersion ciblage mobile : GetCampaignVersions ciblage mobile : GetCampaigns ciblage mobile : GetChannels ciblage mobile : GetEmailChannel ciblage mobile : GetEmailTemplate ciblage mobile : GetEndpoint ciblage mobile : GetEventStream ciblage mobile : GetExportJob ciblage mobile : GetExportJobs ciblage mobile : GetGcmChannel ciblage mobile : GetImportJob ciblage mobile : GetImportJobs ciblage mobile : GetInAppMessages ciblage mobile : GetInAppTemplate ciblage mobile : GetJourney ciblage mobile : GetJourneyDateRangeKpi ciblage mobile : GetJourneyExecutionActivityMetrics ciblage mobile : GetJourneyExecutionMetrics ciblage mobile : GetJourneyRunExecutionActivityMetrics ciblage mobile : GetJourneyRunExecutionMetrics ciblage mobile : GetJourneyRuns ciblage mobile : GetPushTemplate ciblage mobile : GetRecommenderConfiguration ciblage mobile : GetRecommenderConfigurations ciblage mobile : GetSegment ciblage mobile : GetSegmentExportJobs ciblage mobile : GetSegmentImportJobs ciblage mobile : GetSegmentVersion ciblage mobile : GetSegmentVersions ciblage mobile : GetSegments ciblage mobile : GetSmsChannel ciblage mobile : GetSmsTemplate ciblage mobile : GetUserEndpoints ciblage mobile : GetVoiceChannel ciblage mobile : GetVoiceTemplate ciblage mobile : ListJourneys ciblage mobile : ListTemplateVersions ciblage mobile : ListTemplates ciblage mobile : PhoneNumberValidate ciblage mobile : PutEventStream ciblage mobile : RemoveAttributes ciblage mobile : UpdateAdmChannel ciblage mobile : UpdateApnsChannel ciblage mobile : UpdateApnsSandboxChannel ciblage mobile : UpdateApnsVoipChannel ciblage mobile : UpdateApnsVoipSandboxChannel ciblage mobile : UpdateApplicationSettings ciblage mobile : UpdateBaiduChannel ciblage mobile : UpdateCampaign ciblage mobile : UpdateEmailChannel ciblage mobile : UpdateEmailTemplate ciblage mobile : UpdateEndpoint ciblage mobile : UpdateEndpointsBatch ciblage mobile : UpdateGcmChannel ciblage mobile : UpdateInAppTemplate ciblage mobile : UpdateJourney ciblage mobile : UpdateJourneyState ciblage mobile : UpdatePushTemplate ciblage mobile : UpdateRecommenderConfiguration ciblage mobile : UpdateSegment ciblage mobile : UpdateSmsChannel ciblage mobile : UpdateSmsTemplate ciblage mobile : UpdateTemplateActiveVersion ciblage mobile : UpdateVoiceChannel ciblage mobile : UpdateVoiceTemplate Ciblage mobile : vérifier OTPMessage  | 
| mq |  mq : CreateBroker mq : CreateConfiguration mq : CreateUser mq : DeleteBroker mq : DeleteConfiguration mq : DeleteUser mq : DescribeBroker mq : DescribeBrokerEngineTypes mq : DescribeBrokerInstanceOptions mq : DescribeConfiguration mq : DescribeConfigurationRevision mq : DescribeUser mq : ListBrokers mq : ListConfigurationRevisions mq : ListConfigurations mq : ListUsers mq:Promote mq : RebootBroker mq : UpdateBroker mq : UpdateConfiguration mq : UpdateUser  | 
| networkmanager |  gestionnaire de réseau : AcceptAttachment gestionnaire de réseau : AssociateConnectPeer gestionnaire de réseau : AssociateCustomerGateway gestionnaire de réseau : AssociateLink gestionnaire de réseau : AssociateTransitGatewayConnectPeer gestionnaire de réseau : CreateConnectAttachment gestionnaire de réseau : CreateConnectPeer gestionnaire de réseau : CreateConnection gestionnaire de réseau : CreateCoreNetwork gestionnaire de réseau : CreateDevice gestionnaire de réseau : CreateDirectConnectGatewayAttachment gestionnaire de réseau : CreateGlobalNetwork gestionnaire de réseau : CreateLink gestionnaire de réseau : CreateSite gestionnaire de réseau : CreateSiteToSiteVpnAttachment gestionnaire de réseau : CreateTransitGatewayPeering gestionnaire de réseau : CreateTransitGatewayRouteTableAttachment gestionnaire de réseau : CreateVpcAttachment gestionnaire de réseau : DeleteAttachment gestionnaire de réseau : DeleteConnectPeer gestionnaire de réseau : DeleteConnection gestionnaire de réseau : DeleteCoreNetwork gestionnaire de réseau : DeleteCoreNetworkPolicyVersion gestionnaire de réseau : DeleteDevice gestionnaire de réseau : DeleteGlobalNetwork gestionnaire de réseau : DeleteLink gestionnaire de réseau : DeletePeering gestionnaire de réseau : DeleteResourcePolicy gestionnaire de réseau : DeleteSite gestionnaire de réseau : DeregisterTransitGateway gestionnaire de réseau : DescribeGlobalNetworks gestionnaire de réseau : DisassociateConnectPeer gestionnaire de réseau : DisassociateCustomerGateway gestionnaire de réseau : DisassociateLink gestionnaire de réseau : DisassociateTransitGatewayConnectPeer gestionnaire de réseau : ExecuteCoreNetworkChangeSet gestionnaire de réseau : GetConnectAttachment gestionnaire de réseau : GetConnectPeer gestionnaire de réseau : GetConnectPeerAssociations gestionnaire de réseau : GetConnections gestionnaire de réseau : GetCoreNetwork gestionnaire de réseau : GetCoreNetworkChangeEvents gestionnaire de réseau : GetCoreNetworkChangeSet gestionnaire de réseau : GetCoreNetworkPolicy gestionnaire de réseau : GetCustomerGatewayAssociations gestionnaire de réseau : GetDevices gestionnaire de réseau : GetLinkAssociations gestionnaire de réseau : GetLinks gestionnaire de réseau : GetNetworkResourceCounts gestionnaire de réseau : GetNetworkResourceRelationships gestionnaire de réseau : GetNetworkResources gestionnaire de réseau : GetNetworkRoutes gestionnaire de réseau : GetNetworkTelemetry gestionnaire de réseau : GetResourcePolicy gestionnaire de réseau : GetRouteAnalysis gestionnaire de réseau : GetSiteToSiteVpnAttachment gestionnaire de réseau : GetSites gestionnaire de réseau : GetTransitGatewayConnectPeerAssociations gestionnaire de réseau : GetTransitGatewayPeering gestionnaire de réseau : GetTransitGatewayRegistrations gestionnaire de réseau : GetTransitGatewayRouteTableAttachment gestionnaire de réseau : GetVpcAttachment gestionnaire de réseau : ListAttachmentRoutingPolicyAssociations gestionnaire de réseau : ListAttachments gestionnaire de réseau : ListConnectPeers gestionnaire de réseau : ListCoreNetworkPolicyVersions gestionnaire de réseau : ListCoreNetworkPrefixListAssociations gestionnaire de réseau : ListCoreNetworkRoutingInformation gestionnaire de réseau : ListCoreNetworks gestionnaire de réseau : ListOrganizationServiceAccessStatus gestionnaire de réseau : ListPeerings gestionnaire de réseau : PutAttachmentRoutingPolicyLabel gestionnaire de réseau : PutCoreNetworkPolicy gestionnaire de réseau : PutResourcePolicy gestionnaire de réseau : RegisterTransitGateway gestionnaire de réseau : RejectAttachment gestionnaire de réseau : RemoveAttachmentRoutingPolicyLabel gestionnaire de réseau : RestoreCoreNetworkPolicyVersion gestionnaire de réseau : StartOrganizationServiceAccessUpdate gestionnaire de réseau : StartRouteAnalysis gestionnaire de réseau : UpdateConnection gestionnaire de réseau : UpdateCoreNetwork gestionnaire de réseau : UpdateDevice gestionnaire de réseau : UpdateDirectConnectGatewayAttachment gestionnaire de réseau : UpdateGlobalNetwork gestionnaire de réseau : UpdateLink gestionnaire de réseau : UpdateNetworkResourceMetadata gestionnaire de réseau : UpdateSite gestionnaire de réseau : UpdateVpcAttachment  | 
| nimble |  agile : AcceptEulas agile : CreateLaunchProfile agile : CreateStreamingImage agile : CreateStreamingSession agile : CreateStreamingSessionStream agile : CreateStudio agile : CreateStudioComponent agile : DeleteLaunchProfile agile : DeleteLaunchProfileMember agile : DeleteStreamingImage agile : DeleteStreamingSession agile : DeleteStudio agile : DeleteStudioComponent agile : DeleteStudioMember agile : GetEula agile : GetLaunchProfileDetails agile : GetStreamingImage agile : GetStreamingSession agile : GetStreamingSessionBackup agile : GetStreamingSessionStream agile : GetStudio agile : GetStudioComponent agile : GetStudioMember agile : ListEulas agile : ListLaunchProfileMembers agile : ListLaunchProfiles agile : ListStreamingImages agile : ListStreamingSessionBackups agile : ListStreamingSessions agile : ListStudioComponents agile : ListStudioMembers agile : ListStudios agile : PutLaunchProfileMembers agile : PutStudioMembers agile : StartStreamingSession agile : Réparation StartStudio SSOConfiguration agile : StopStreamingSession agile : UpdateLaunchProfile agile : UpdateLaunchProfileMember agile : UpdateStreamingImage agile : UpdateStudio agile : UpdateStudioComponent  | 
| omics |  bandes dessinées : AbortMultipartReadSetUpload bandes dessinées : AcceptShare bandes dessinées : BatchDeleteReadSet bandes dessinées : CancelAnnotationImportJob bandes dessinées : CancelRun bandes dessinées : CancelVariantImportJob bandes dessinées : CompleteMultipartReadSetUpload bandes dessinées : CreateAnnotationStore bandes dessinées : CreateAnnotationStoreVersion bandes dessinées : CreateMultipartReadSetUpload bandes dessinées : CreateReferenceStore bandes dessinées : CreateRunGroup bandes dessinées : CreateSequenceStore bandes dessinées : CreateShare bandes dessinées : CreateVariantStore bandes dessinées : CreateWorkflow bandes dessinées : CreateWorkflowVersion bandes dessinées : DeleteAnnotationStore bandes dessinées : DeleteAnnotationStoreVersions bandes dessinées : DeleteReference bandes dessinées : DeleteReferenceStore bandes dessinées : DeleteRun bandes dessinées : DeleteRunGroup bandes dessinées : DeleteSequenceStore bandes dessinées : DeleteShare bandes dessinées : DeleteVariantStore bandes dessinées : DeleteWorkflow bandes dessinées : DeleteWorkflowVersion bandes dessinées : GetAnnotationImportJob bandes dessinées : GetAnnotationStore bandes dessinées : GetAnnotationStoreVersion bandes dessinées : GetReadSet bandes dessinées : GetReadSetActivationJob bandes dessinées : GetReadSetExportJob bandes dessinées : GetReadSetImportJob bandes dessinées : GetReadSetMetadata bandes dessinées : GetReference bandes dessinées : GetReferenceImportJob bandes dessinées : GetReferenceMetadata bandes dessinées : GetReferenceStore bandes dessinées : GetRun bandes dessinées : GetRunGroup bandes dessinées : GetRunTask bandes dessinées : GetSequenceStore bandes dessinées : GetShare bandes dessinées : GetVariantImportJob bandes dessinées : GetVariantStore bandes dessinées : GetWorkflow bandes dessinées : GetWorkflowVersion bandes dessinées : ListAnnotationImportJobs bandes dessinées : ListAnnotationStoreVersions bandes dessinées : ListAnnotationStores bandes dessinées : ListMultipartReadSetUploads bandes dessinées : ListReadSetActivationJobs bandes dessinées : ListReadSetExportJobs bandes dessinées : ListReadSetImportJobs bandes dessinées : ListReadSetUploadParts bandes dessinées : ListReadSets bandes dessinées : ListReferenceImportJobs bandes dessinées : ListReferenceStores bandes dessinées : ListReferences bandes dessinées : ListRunGroups bandes dessinées : ListRunTasks bandes dessinées : ListRuns bandes dessinées : ListSequenceStores bandes dessinées : ListShares bandes dessinées : ListVariantImportJobs bandes dessinées : ListVariantStores bandes dessinées : ListWorkflowVersions bandes dessinées : ListWorkflows bandes dessinées : StartAnnotationImportJob bandes dessinées : StartReadSetActivationJob bandes dessinées : StartReadSetExportJob bandes dessinées : StartReadSetImportJob bandes dessinées : StartReferenceImportJob bandes dessinées : StartRun bandes dessinées : StartVariantImportJob bandes dessinées : UpdateAnnotationStore bandes dessinées : UpdateAnnotationStoreVersion bandes dessinées : UpdateRunGroup bandes dessinées : UpdateVariantStore bandes dessinées : UpdateWorkflow bandes dessinées : UpdateWorkflowVersion bandes dessinées : UploadReadSetPart  | 
| opsworks |  opsworks : AssignInstance opsworks : AssignVolume opsworks : AssociateElasticIp opsworks : AttachElasticLoadBalancer opsworks : CloneStack opsworks : CreateApp opsworks : CreateDeployment opsworks : CreateInstance opsworks : CreateLayer opsworks : CreateStack opsworks : CreateUserProfile opsworks : DeleteApp opsworks : DeleteInstance opsworks : DeleteLayer opsworks : DeleteStack opsworks : DeleteUserProfile opsworks : DeregisterEcsCluster opsworks : DeregisterElasticIp opsworks : DeregisterInstance opsworks : DeregisterRdsDbInstance opsworks : DeregisterVolume opsworks : DescribeAgentVersions opsworks : DescribeApps opsworks : DescribeCommands opsworks : DescribeDeployments opsworks : DescribeEcsClusters opsworks : DescribeElasticIps opsworks : DescribeElasticLoadBalancers opsworks : DescribeInstances opsworks : DescribeLayers opsworks : DescribeLoadBasedAutoScaling opsworks : DescribeMyUserProfile opsworks : DescribeOperatingSystems opsworks : DescribePermissions opsworks : DescribeRaidArrays opsworks : DescribeRdsDbInstances opsworks : DescribeServiceErrors opsworks : DescribeStackProvisioningParameters opsworks : DescribeStackSummary opsworks : DescribeStacks opsworks : DescribeTimeBasedAutoScaling opsworks : DescribeUserProfiles opsworks : DescribeVolumes opsworks : DetachElasticLoadBalancer opsworks : DisassociateElasticIp opsworks : GetHostnameSuggestion opsworks : GrantAccess opsworks : RebootInstance opsworks : RegisterEcsCluster opsworks : RegisterElasticIp opsworks : RegisterInstance opsworks : RegisterRdsDbInstance opsworks : RegisterVolume opsworks : SetLoadBasedAutoScaling opsworks : SetPermission opsworks : SetTimeBasedAutoScaling opsworks : StartInstance opsworks : StartStack opsworks : StopInstance opsworks : StopStack opsworks : UnassignInstance opsworks : UnassignVolume opsworks : UpdateApp opsworks : UpdateElasticIp opsworks : UpdateInstance opsworks : UpdateLayer opsworks : UpdateMyUserProfile opsworks : UpdateRdsDbInstance opsworks : UpdateStack opsworks : UpdateUserProfile opsworks : UpdateVolume  | 
| opsworks-cm |  Opsworks-cm : AssociateNode Opsworks-cm : CreateBackup Opsworks-cm : CreateServer Opsworks-cm : DeleteBackup Opsworks-cm : DeleteServer Opsworks-cm : DescribeAccountAttributes Opsworks-cm : DescribeBackups Opsworks-cm : DescribeEvents Opsworks-cm : DescribeNodeAssociationStatus Opsworks-cm : DescribeServers Opsworks-cm : DisassociateNode Opsworks-cm : ExportServerEngineAttribute Opsworks-cm : RestoreServer Opsworks-cm : StartMaintenance Opsworks-cm : UpdateServer Opsworks-cm : UpdateServerEngineAttributes  | 
| organisations |  organisations : AcceptHandshake organisations : AttachPolicy organisations : CancelHandshake organisations : CloseAccount organisations : CreateAccount organisations : CreateGovCloudAccount organisations : CreateOrganization organisations : CreateOrganizationalUnit organisations : CreatePolicy organisations : DeclineHandshake organisations : DeleteOrganization organisations : DeleteOrganizationalUnit organisations : DeletePolicy organisations : DeleteResourcePolicy organisations : DeregisterDelegatedAdministrator organisations : DescribeAccount organisations : DescribeCreateAccountStatus organisations : DescribeEffectivePolicy organisations : DescribeHandshake organisations : DescribeOrganization organisations : DescribeOrganizationalUnit organisations : DescribePolicy organisations : DescribeResourcePolicy organisations : DescribeResponsibilityTransfer organisations : DetachPolicy Organisations : Désactiver l'accès AWSService organisations : DisablePolicyType Organisations : activer l'accès AWSService organisations : EnableAllFeatures organisations : EnablePolicyType organisations : InviteAccountToOrganization organisations : LeaveOrganization Organisations : liste AWSService AccessForOrganization organisations : ListAccounts organisations : ListAccountsForParent organisations : ListAccountsWithInvalidEffectivePolicy organisations : ListChildren organisations : ListCreateAccountStatus organisations : ListDelegatedAdministrators organisations : ListDelegatedServicesForAccount organisations : ListHandshakesForAccount organisations : ListHandshakesForOrganization organisations : ListInboundResponsibilityTransfers organisations : ListOrganizationalUnitsForParent organisations : ListOutboundResponsibilityTransfers organisations : ListParents organisations : ListPolicies organisations : ListPoliciesForTarget organisations : ListRoots organisations : ListTargetsForPolicy organisations : MoveAccount organisations : PutResourcePolicy organisations : RegisterDelegatedAdministrator organisations : RemoveAccountFromOrganization organisations : TerminateResponsibilityTransfer organisations : UpdateOrganizationalUnit organisations : UpdatePolicy organisations : UpdateResponsibilityTransfer  | 
| outposts |  avant-postes : CancelCapacityTask avant-postes : CancelOrder avant-postes : CreateOrder avant-postes : CreateOutpost avant-postes : CreatePrivateConnectivityConfig avant-postes : CreateSite avant-postes : DeleteOutpost avant-postes : DeleteSite avant-postes : GetCapacityTask avant-postes : GetCatalogItem avant-postes : GetConnection avant-postes : GetOrder avant-postes : GetOutpost avant-postes : GetOutpostBillingInformation avant-postes : GetOutpostInstanceTypes avant-postes : GetOutpostSupportedInstanceTypes avant-postes : GetPrivateConnectivityConfig avant-postes : GetSite avant-postes : GetSiteAddress avant-postes : ListAssetInstances avant-postes : ListAssets avant-postes : ListBlockingInstancesForCapacityTask avant-postes : ListCapacityTasks avant-postes : ListCatalogItems avant-postes : ListOrders avant-postes : ListOutposts avant-postes : ListSites avant-postes : StartCapacityTask avant-postes : StartConnection avant-postes : UpdateOutpost avant-postes : UpdateSite avant-postes : UpdateSiteAddress avant-postes : UpdateSiteRackPhysicalProperties  | 
| panorama |  panorama : CreateApplicationInstance panorama : CreateJobForDevices panorama : CreateNodeFromTemplateJob panorama : CreatePackage panorama : CreatePackageImportJob panorama : DeleteDevice panorama : DeletePackage panorama : DeregisterPackageVersion panorama : DescribeApplicationInstance panorama : DescribeApplicationInstanceDetails panorama : DescribeDevice panorama : DescribeDeviceJob panorama : DescribeNode panorama : DescribeNodeFromTemplateJob panorama : DescribePackage panorama : DescribePackageImportJob panorama : DescribePackageVersion panorama : ListApplicationInstanceDependencies panorama : ListApplicationInstanceNodeInstances panorama : ListApplicationInstances panorama : ListDevices panorama : ListDevicesJobs panorama : ListNodeFromTemplateJobs panorama : ListNodes panorama : ListPackageImportJobs panorama : ListPackages panorama : ProvisionDevice panorama : RegisterPackageVersion panorama : RemoveApplicationInstance panorama : SignalApplicationInstanceNodeInstances panorama : UpdateDeviceMetadata  | 
| pi |  épi : CreatePerformanceAnalysisReport épi : DeletePerformanceAnalysisReport épi : DescribeDimensionKeys épi : GetDimensionKeyDetails épi : GetPerformanceAnalysisReport épi : GetResourceMetadata épi : GetResourceMetrics épi : ListAvailableResourceDimensions épi : ListAvailableResourceMetrics épi : ListPerformanceAnalysisReports  | 
| pipes |  tuyaux : CreatePipe tuyaux : DeletePipe tuyaux : DescribePipe tuyaux : ListPipes tuyaux : StartPipe tuyaux : StopPipe tuyaux : UpdatePipe  | 
| polly |  Polly : DeleteLexicon Polly : DescribeVoices Polly : GetLexicon Polly : GetSpeechSynthesisTask Polly : ListLexicons Polly : ListSpeechSynthesisTasks Polly : PutLexicon Polly : StartSpeechSynthesisTask Polly : SynthesizeSpeech  | 
| profile |  profil : AddProfileKey profil : BatchGetCalculatedAttributeForProfile profil : BatchGetProfile profil : CreateCalculatedAttributeDefinition profil : CreateDomain profil : CreateEventStream profil : CreateProfile profil : CreateRecommender profil : CreateSegmentDefinition profil : CreateSegmentEstimate profil : CreateSegmentSnapshot profil : CreateUploadJob profil : DeleteCalculatedAttributeDefinition profil : DeleteDomain profil : DeleteDomainObjectType profil : DeleteEventStream profil : DeleteIntegration profil : DeleteProfile profil : DeleteProfileKey profil : DeleteProfileObject profil : DeleteProfileObjectType profil : DeleteRecommender profil : DeleteSegmentDefinition profil : DeleteWorkflow profil : DetectProfileObjectType profil : GetAutoMergingPreview profil : GetCalculatedAttributeDefinition profil : GetCalculatedAttributeForProfile profil : GetDomain profil : GetDomainObjectType profil : GetEventStream profil : GetIdentityResolutionJob profil : GetIntegration profil : GetMatches profil : GetObjectTypeAttributeStatistics profil : GetProfileObjectType profil : GetProfileObjectTypeTemplate profil : GetProfileRecommendations profil : GetRecommender profil : GetSegmentDefinition profil : GetSegmentEstimate profil : GetSegmentMembership profil : GetSegmentSnapshot profil : GetSimilarProfiles profil : GetUploadJob profil : GetUploadJobPath profil : GetWorkflow profil : GetWorkflowSteps profil : ListAccountIntegrations profil : ListCalculatedAttributeDefinitions profil : ListCalculatedAttributesForProfile profil : ListDomainLayouts profil : ListDomainObjectTypes profil : ListDomains profil : ListEventStreams profil : ListIdentityResolutionJobs profil : ListIntegrations profil : ListObjectTypeAttributeValues profil : ListObjectTypeAttributes profil : ListProfileAttributeValues profil : ListProfileObjectTypeTemplates profil : ListProfileObjectTypes profil : ListProfileObjects profil : ListRecommenderRecipes profil : ListRecommenders profil : ListRuleBasedMatches profil : ListSegmentDefinitions profil : ListUploadJobs profil : ListWorkflows profil : MergeProfiles profil : PutDomainObjectType profil : PutIntegration profil : PutProfileObject profil : PutProfileObjectType profil : SearchProfiles profil : StartRecommender profil : StartUploadJob profil : StopRecommender profil : StopUploadJob profil : UpdateCalculatedAttributeDefinition profil : UpdateDomain profil : UpdateProfile profil : UpdateRecommender  | 
| qldb |  qldb : CancelJournalKinesisStream qldb : CreateLedger qldb : DeleteLedger qldb : DescribeJournalKinesisStream qldb : Export S3 DescribeJournal qldb : DescribeLedger qldb : S3 ExportJournalTo qldb : GetBlock qldb : GetDigest qldb : GetRevision qldb : ListJournalKinesisStreamsForLedger qldb : Exportations S3 ListJournal qldb : S3 ListJournal ExportsForLedger qldb : ListLedgers qldb : StreamJournalToKinesis qldb : UpdateLedger qldb : UpdateLedgerPermissionsMode  | 
| ram |  RAM : AcceptResourceShareInvitation RAM : AssociateResourceShare RAM : AssociateResourceSharePermission RAM : CreatePermission RAM : CreatePermissionVersion RAM : CreateResourceShare RAM : DeletePermission RAM : DeletePermissionVersion RAM : DeleteResourceShare RAM : DisassociateResourceShare RAM : DisassociateResourceSharePermission RAM : EnableSharingWithAwsOrganization RAM : GetPermission RAM : GetResourcePolicies RAM : GetResourceShareAssociations RAM : GetResourceShareInvitations RAM : GetResourceShares RAM : ListPendingInvitationResources RAM : ListPermissionAssociations RAM : ListPermissionVersions RAM : ListPermissions RAM : ListPrincipals RAM : ListReplacePermissionAssociationsWork RAM : ListResourceSharePermissions RAM : ListResourceTypes RAM : ListResources RAM : PromotePermissionCreatedFromPolicy RAM : PromoteResourceShareCreatedFromPolicy RAM : RejectResourceShareInvitation RAM : ReplacePermissionAssociations RAM : SetDefaultPermissionVersion RAM : UpdateResourceShare  | 
| rbin |  corbeille : CreateRule corbeille : DeleteRule corbeille : GetRule corbeille : ListRules corbeille : LockRule corbeille : UnlockRule corbeille : UpdateRule  | 
| rds |  rouge : AddRoleTo DBCluster rouge : AddRoleTo DBInstance rouge : AddSourceIdentifierToSubscription rouge : ApplyPendingMaintenanceAction RDS : Autoriser DBSecurity GroupIngress RDS : BackTrack DBCluster rouge : CancelExportTask RDS : copie DBCluster ParameterGroup RDS DBCluster : Copier un instantané RDS:Copy Group DBParameter RDS : copie DBSnapshot rouge : CopyOptionGroup RDS : Version CreateCustom DBEngine RDS : créer DBCluster ParameterGroup RDS DBParameter : créer un groupe RDS : créer DBProxy RDS DBProxy : créer un point de terminaison RDS DBSecurity : créer un groupe RDS DBSubnet : créer un groupe rouge : CreateEventSubscription rouge : CreateGlobalCluster rouge : CreateOptionGroup rouge : DeleteBlueGreenDeployment RDS : Supprimer DBCluster AutomatedBackup RDS : Supprimer DBCluster ParameterGroup RDS DBCluster : Supprimer l'instantané RDS : Supprimer DBInstance AutomatedBackup RDS:Supprimer le groupe DBParameter RDS : Supprimer DBProxy RDS DBProxy : Supprimer le point de terminaison RDS:Supprimer le groupe DBSecurity RDS : Supprimer DBSnapshot RDS:Supprimer le groupe DBSubnet rouge : DeleteEventSubscription rouge : DeleteGlobalCluster rouge : DeleteOptionGroup RDS DBProxy : Désenregistrer les cibles rouge : DescribeAccountAttributes rouge : DescribeBlueGreenDeployments rouge : DescribeCertificates RDS : Décrivez DBCluster AutomatedBackups RDS DBCluster : Décrivez les backtracks RDS DBCluster : Décrire les points de terminaison RDS : Décrivez DBCluster ParameterGroups RDS DBCluster : Décrire les paramètres RDS : Décrivez DBCluster SnapshotAttributes RDS DBCluster : Décrire les instantanés RDS : décrire DBClusters RDS DBEngine : Décrire les versions RDS : Décrivez DBInstance AutomatedBackups RDS : décrire DBInstances RDS:Descrivez les fichiers DBLog RDS : Décrivez DBMajor EngineVersions RDS DBParameter : Décrire les groupes RDS : Décrivez DBParameters RDS : Décrivez DBProxies RDS DBProxy : Décrire les points de terminaison RDS : Décrivez DBProxy TargetGroups RDS DBProxy : Décrire les cibles RDS : Décrivez DBRecommendations RDS DBSecurity : Décrire les groupes RDS DBSnapshot : Décrire les attributs RDS : Décrivez DBSnapshot TenantDatabases RDS : Décrivez DBSnapshots RDS DBSubnet : Décrire les groupes rouge : DescribeEngineDefaultClusterParameters rouge : DescribeEngineDefaultParameters rouge : DescribeEventCategories rouge : DescribeEventSubscriptions rouge : DescribeEvents rouge : DescribeExportTasks rouge : DescribeGlobalClusters rouge : DescribeIntegrations rouge : DescribeOptionGroupOptions rouge : DescribeOptionGroups RDS : Options DescribeOrderable DBInstance rouge : DescribePendingMaintenanceActions rouge : DescribeReserved DBInstances rds : Offres DescribeReserved DBInstances rouge : DescribeSourceRegions rouge : DescribeTenantDatabases RDS : Modifications DescribeValid DBInstance rds : fichier DownloadComplete DBLog RDS : Télécharger DBLog FilePortion RDS : Failover DBCluster rouge : FailoverGlobalCluster rouge : ModifyActivityStream rouge : ModifyCertificates RDS : Capacité ModifyCurrent DBCluster RDS DBCluster : Modifier le point de terminaison RDS : Modifier DBCluster ParameterGroup RDS : Modifier DBCluster SnapshotAttribute RDS:Modifier le groupe DBParameter RDS : Modifier DBProxy RDS DBProxy : Modifier le point de terminaison RDS : Modifier DBProxy TargetGroup RDS : Modifier DBRecommendation RDS : Modifier DBSnapshot RDS:Modifier DBSnapshot l'attribut RDS:Modifier le groupe DBSubnet rouge : ModifyEventSubscription rouge : ModifyGlobalCluster rouge : ModifyOptionGroup rouge : ModifyTenantDatabase RDS : Offre PurchaseReserved DBInstances RDS : redémarrage DBCluster RDS DBProxy : Enregistrer les cibles rouge : RemoveFromGlobalCluster rouge : RemoveRoleFrom DBCluster rouge : RemoveRoleFrom DBInstance rouge : RemoveSourceIdentifierFromSubscription RDS : réinitialiser DBCluster ParameterGroup RDS DBParameter : Réinitialiser le groupe RDS : restauration depuis S3 DBCluster RDS : Restaurer DBCluster FromSnapshot RDS : Restaurer DBCluster ToPointInTime RDS DBInstance : Restaurer à partir de DBSnapshot RDS : restauration depuis S3 DBInstance RDS : Restaurer DBInstance ToPointInTime RDS : révoquer DBSecurity GroupIngress rouge : StartActivityStream RDS : démarrer DBCluster RDS : démarrer DBInstance RDS : démarrer DBInstance AutomatedBackupsReplication rouge : StartExportTask rouge : StopActivityStream RDS : Arrêter DBCluster RDS : Arrêter DBInstance RDS : arrêt DBInstance AutomatedBackupsReplication rouge : SwitchoverBlueGreenDeployment rouge : SwitchoverGlobalCluster rouge : SwitchoverReadReplica  | 
| redshift |  décalage vers le rouge : AcceptReservedNodeExchange décalage vers le rouge : AddPartner décalage vers le rouge : AssociateDataShareConsumer décalage vers le rouge : AuthorizeClusterSecurityGroupIngress décalage vers le rouge : AuthorizeDataShare décalage vers le rouge : AuthorizeEndpointAccess décalage vers le rouge : AuthorizeSnapshotAccess décalage vers le rouge : BatchDeleteClusterSnapshots décalage vers le rouge : BatchModifyClusterSnapshots décalage vers le rouge : CancelQuery décalage vers le rouge : CancelResize décalage vers le rouge : CopyClusterSnapshot décalage vers le rouge : CreateAuthenticationProfile décalage vers le rouge : CreateCluster décalage vers le rouge : CreateClusterParameterGroup décalage vers le rouge : CreateClusterSecurityGroup décalage vers le rouge : CreateClusterSnapshot décalage vers le rouge : CreateClusterSubnetGroup décalage vers le rouge : CreateCustomDomainAssociation décalage vers le rouge : CreateEndpointAccess décalage vers le rouge : CreateEventSubscription décalage vers le rouge : CreateHsmClientCertificate décalage vers le rouge : CreateHsmConfiguration décalage vers le rouge : CreateIntegration décalage vers le rouge : CreateRedshiftIdcApplication décalage vers le rouge : CreateScheduledAction décalage vers le rouge : CreateSnapshotCopyGrant décalage vers le rouge : CreateSnapshotSchedule décalage vers le rouge : CreateUsageLimit décalage vers le rouge : DeauthorizeDataShare décalage vers le rouge : DeleteAuthenticationProfile décalage vers le rouge : DeleteCluster décalage vers le rouge : DeleteClusterParameterGroup décalage vers le rouge : DeleteClusterSecurityGroup décalage vers le rouge : DeleteClusterSnapshot décalage vers le rouge : DeleteClusterSubnetGroup décalage vers le rouge : DeleteCustomDomainAssociation décalage vers le rouge : DeleteEndpointAccess décalage vers le rouge : DeleteEventSubscription décalage vers le rouge : DeleteHsmClientCertificate décalage vers le rouge : DeleteHsmConfiguration décalage vers le rouge : DeletePartner décalage vers le rouge : DeleteRedshiftIdcApplication décalage vers le rouge : DeleteResourcePolicy décalage vers le rouge : DeleteScheduledAction décalage vers le rouge : DeleteSnapshotCopyGrant décalage vers le rouge : DeleteSnapshotSchedule décalage vers le rouge : DeleteUsageLimit décalage vers le rouge : DeregisterNamespace décalage vers le rouge : DescribeAccountAttributes décalage vers le rouge : DescribeAuthenticationProfiles décalage vers le rouge : DescribeClusterDbRevisions décalage vers le rouge : DescribeClusterParameterGroups décalage vers le rouge : DescribeClusterParameters décalage vers le rouge : DescribeClusterSecurityGroups décalage vers le rouge : DescribeClusterSnapshots décalage vers le rouge : DescribeClusterSubnetGroups décalage vers le rouge : DescribeClusterTracks décalage vers le rouge : DescribeClusterVersions décalage vers le rouge : DescribeClusters décalage vers le rouge : DescribeCustomDomainAssociations décalage vers le rouge : DescribeDataShares décalage vers le rouge : DescribeDataSharesForConsumer décalage vers le rouge : DescribeDataSharesForProducer décalage vers le rouge : DescribeDefaultClusterParameters décalage vers le rouge : DescribeEndpointAccess décalage vers le rouge : DescribeEndpointAuthorization décalage vers le rouge : DescribeEventCategories décalage vers le rouge : DescribeEventSubscriptions décalage vers le rouge : DescribeEvents décalage vers le rouge : DescribeHsmClientCertificates décalage vers le rouge : DescribeHsmConfigurations décalage vers le rouge : DescribeInboundIntegrations décalage vers le rouge : DescribeIntegrations décalage vers le rouge : DescribeLoggingStatus décalage vers le rouge : DescribeNodeConfigurationOptions décalage vers le rouge : DescribeOrderableClusterOptions décalage vers le rouge : DescribePartners décalage vers le rouge : DescribeRedshiftIdcApplications décalage vers le rouge : DescribeReservedNodeExchangeStatus décalage vers le rouge : DescribeReservedNodeOfferings décalage vers le rouge : DescribeReservedNodes décalage vers le rouge : DescribeResize décalage vers le rouge : DescribeScheduledActions décalage vers le rouge : DescribeSnapshotCopyGrants décalage vers le rouge : DescribeSnapshotSchedules décalage vers le rouge : DescribeStorage décalage vers le rouge : DescribeTableRestoreStatus décalage vers le rouge : DescribeUsageLimits décalage vers le rouge : DisableLogging décalage vers le rouge : DisableSnapshotCopy décalage vers le rouge : DisassociateDataShareConsumer décalage vers le rouge : EnableLogging décalage vers le rouge : EnableSnapshotCopy décalage vers le rouge : FailoverPrimaryCompute décalage vers le rouge : GetClusterCredentials redshift : IAM GetClusterCredentialsWith décalage vers le rouge : GetIdentityCenterAuthToken décalage vers le rouge : GetReservedNodeExchangeConfigurationOptions décalage vers le rouge : GetReservedNodeExchangeOfferings décalage vers le rouge : GetResourcePolicy décalage vers le rouge : ListRecommendations décalage vers le rouge : ModifyAquaConfiguration décalage vers le rouge : ModifyAuthenticationProfile décalage vers le rouge : ModifyCluster décalage vers le rouge : ModifyClusterDbRevision décalage vers le rouge : ModifyClusterIamRoles décalage vers le rouge : ModifyClusterMaintenance décalage vers le rouge : ModifyClusterParameterGroup décalage vers le rouge : ModifyClusterSnapshot décalage vers le rouge : ModifyClusterSnapshotSchedule décalage vers le rouge : ModifyClusterSubnetGroup décalage vers le rouge : ModifyCustomDomainAssociation décalage vers le rouge : ModifyEndpointAccess décalage vers le rouge : ModifyEventSubscription décalage vers le rouge : ModifyRedshiftIdcApplication décalage vers le rouge : ModifyScheduledAction décalage vers le rouge : ModifySnapshotCopyRetentionPeriod décalage vers le rouge : ModifySnapshotSchedule décalage vers le rouge : ModifyUsageLimit décalage vers le rouge : PauseCluster décalage vers le rouge : PurchaseReservedNodeOffering décalage vers le rouge : PutResourcePolicy décalage vers le rouge : RebootCluster décalage vers le rouge : RegisterNamespace décalage vers le rouge : RejectDataShare décalage vers le rouge : ResetClusterParameterGroup décalage vers le rouge : ResizeCluster décalage vers le rouge : RestoreFromClusterSnapshot décalage vers le rouge : RestoreTableFromClusterSnapshot décalage vers le rouge : ResumeCluster décalage vers le rouge : RevokeClusterSecurityGroupIngress décalage vers le rouge : RevokeEndpointAccess décalage vers le rouge : RevokeSnapshotAccess décalage vers le rouge : RotateEncryptionKey décalage vers le rouge : UpdatePartnerStatus  | 
| redshift-data |  données redshift : BatchExecuteStatement données redshift : CancelStatement données redshift : DescribeStatement données redshift : DescribeTable données redshift : ExecuteStatement données redshift : GetStatementResult données redshift : ListDatabases données redshift : ListSchemas données redshift : ListStatements données redshift : ListTables  | 
| refactor-spaces |  espaces de refactorisation : CreateApplication espaces de refactorisation : CreateEnvironment espaces de refactorisation : CreateRoute espaces de refactorisation : CreateService espaces de refactorisation : DeleteApplication espaces de refactorisation : DeleteEnvironment espaces de refactorisation : DeleteResourcePolicy espaces de refactorisation : DeleteRoute espaces de refactorisation : DeleteService espaces de refactorisation : GetApplication espaces de refactorisation : GetEnvironment espaces de refactorisation : GetResourcePolicy espaces de refactorisation : GetRoute espaces de refactorisation : GetService espaces de refactorisation : ListApplications espaces de refactorisation : ListEnvironmentVpcs espaces de refactorisation : ListEnvironments espaces de refactorisation : ListRoutes espaces de refactorisation : ListServices espaces de refactorisation : PutResourcePolicy espaces de refactorisation : UpdateRoute  | 
| rekognition |  reconnaissance : AssociateFaces reconnaissance : CompareFaces reconnaissance : CopyProjectVersion reconnaissance : CreateCollection reconnaissance : CreateDataset reconnaissance : CreateFaceLivenessSession reconnaissance : CreateProject reconnaissance : CreateProjectVersion reconnaissance : CreateStreamProcessor reconnaissance : CreateUser reconnaissance : DeleteCollection reconnaissance : DeleteDataset reconnaissance : DeleteFaces reconnaissance : DeleteProject reconnaissance : DeleteProjectPolicy reconnaissance : DeleteProjectVersion reconnaissance : DeleteStreamProcessor reconnaissance : DeleteUser reconnaissance : DescribeCollection reconnaissance : DescribeDataset reconnaissance : DescribeProjectVersions reconnaissance : DescribeProjects reconnaissance : DescribeStreamProcessor reconnaissance : DetectCustomLabels reconnaissance : DetectFaces reconnaissance : DetectLabels reconnaissance : DetectModerationLabels reconnaissance : DetectProtectiveEquipment reconnaissance : DetectText reconnaissance : DisassociateFaces reconnaissance : DistributeDatasetEntries reconnaissance : GetCelebrityInfo reconnaissance : GetCelebrityRecognition reconnaissance : GetContentModeration reconnaissance : GetFaceDetection reconnaissance : GetFaceLivenessSessionResults reconnaissance : GetFaceSearch reconnaissance : GetLabelDetection reconnaissance : GetMediaAnalysisJob reconnaissance : GetPersonTracking reconnaissance : GetSegmentDetection reconnaissance : GetTextDetection reconnaissance : IndexFaces reconnaissance : ListCollections reconnaissance : ListDatasetEntries reconnaissance : ListDatasetLabels reconnaissance : ListFaces reconnaissance : ListMediaAnalysisJobs reconnaissance : ListProjectPolicies reconnaissance : ListStreamProcessors reconnaissance : ListUsers reconnaissance : PutProjectPolicy reconnaissance : RecognizeCelebrities reconnaissance : SearchFaces reconnaissance : SearchFacesByImage reconnaissance : SearchUsers reconnaissance : SearchUsersByImage reconnaissance : StartCelebrityRecognition reconnaissance : StartContentModeration reconnaissance : StartFaceDetection reconnaissance : StartFaceLivenessSession reconnaissance : StartFaceSearch reconnaissance : StartLabelDetection reconnaissance : StartMediaAnalysisJob reconnaissance : StartPersonTracking reconnaissance : StartProjectVersion reconnaissance : StartSegmentDetection reconnaissance : StartStreamProcessor reconnaissance : StartTextDetection reconnaissance : StopProjectVersion reconnaissance : StopStreamProcessor reconnaissance : UpdateDatasetEntries reconnaissance : UpdateStreamProcessor  | 
| resiliencehub |  hub de résilience : AcceptResourceGroupingRecommendations hub de résilience : AddDraftAppVersionResourceMappings hub de résilience : BatchUpdateRecommendationStatus hub de résilience : CreateApp hub de résilience : CreateAppVersionAppComponent hub de résilience : CreateAppVersionResource hub de résilience : CreateRecommendationTemplate hub de résilience : CreateResiliencyPolicy hub de résilience : DeleteApp hub de résilience : DeleteAppAssessment hub de résilience : DeleteAppInputSource hub de résilience : DeleteAppVersionAppComponent hub de résilience : DeleteAppVersionResource hub de résilience : DeleteRecommendationTemplate hub de résilience : DeleteResiliencyPolicy hub de résilience : DescribeApp hub de résilience : DescribeAppAssessment hub de résilience : DescribeAppVersion hub de résilience : DescribeAppVersionAppComponent hub de résilience : DescribeAppVersionResource hub de résilience : DescribeAppVersionResourcesResolutionStatus hub de résilience : DescribeAppVersionTemplate hub de résilience : DescribeDraftAppVersionResourcesImportStatus hub de résilience : DescribeMetricsExport hub de résilience : DescribeResiliencyPolicy hub de résilience : DescribeResourceGroupingRecommendationTask hub de résilience : ImportResourcesToDraftAppVersion hub de résilience : ListAlarmRecommendations hub de résilience : ListAppAssessmentComplianceDrifts hub de résilience : ListAppAssessmentResourceDrifts hub de résilience : ListAppAssessments hub de résilience : ListAppComponentCompliances hub de résilience : ListAppComponentRecommendations hub de résilience : ListAppInputSources hub de résilience : ListAppVersionAppComponents hub de résilience : ListAppVersionResourceMappings hub de résilience : ListAppVersionResources hub de résilience : ListAppVersions hub de résilience : ListApps hub de résilience : ListMetrics hub de résilience : ListRecommendationTemplates hub de résilience : ListResiliencyPolicies hub de résilience : ListResourceGroupingRecommendations hub de résilience : ListSopRecommendations hub de résilience : ListSuggestedResiliencyPolicies hub de résilience : ListTestRecommendations hub de résilience : ListUnsupportedAppVersionResources hub de résilience : PublishAppVersion hub de résilience : PutDraftAppVersionTemplate hub de résilience : RejectResourceGroupingRecommendations hub de résilience : RemoveDraftAppVersionResourceMappings hub de résilience : ResolveAppVersionResources hub de résilience : StartAppAssessment hub de résilience : StartResourceGroupingRecommendationTask hub de résilience : UpdateApp hub de résilience : UpdateAppVersion hub de résilience : UpdateAppVersionAppComponent hub de résilience : UpdateAppVersionResource hub de résilience : UpdateResiliencyPolicy  | 
| resource-explorer-2 |  explorateur de ressources-2 : AssociateDefaultView explorateur de ressources-2 : BatchGetView explorateur de ressources-2 : CreateIndex explorateur de ressources-2 : CreateResourceExplorerSetup explorateur de ressources-2 : CreateView explorateur de ressources-2 : DeleteIndex explorateur de ressources-2 : DeleteResourceExplorerSetup explorateur de ressources-2 : DeleteView explorateur de ressources-2 : DisassociateDefaultView explorateur de ressources-2 : GetAccountLevelServiceConfiguration explorateur de ressources-2 : GetDefaultView explorateur de ressources-2 : GetIndex explorateur de ressources-2 : GetManagedView explorateur de ressources-2 : GetResourceExplorerSetup explorateur de ressources-2 : GetServiceIndex explorateur de ressources-2 : GetServiceView explorateur de ressources-2 : ListIndexes explorateur de ressources-2 : ListIndexesForMembers explorateur de ressources-2 : ListManagedViews explorateur de ressources-2 : ListServiceIndexes explorateur de ressources-2 : ListServiceViews explorateur de ressources-2 : ListStreamingAccessForServices explorateur de ressources-2 : ListSupportedResourceTypes explorateur de ressources-2 : ListViews resource-explorer-2:Search explorateur de ressources-2 : UpdateIndexType explorateur de ressources-2 : UpdateView  | 
| resource-groups |  groupes de ressources : CancelTagSyncTask groupes de ressources : GetAccountSettings groupes de ressources : GetGroup groupes de ressources : GetGroupConfiguration groupes de ressources : GetGroupQuery groupes de ressources : GetTagSyncTask groupes de ressources : GroupResources groupes de ressources : ListGroupResources groupes de ressources : ListGroupingStatuses groupes de ressources : ListGroups groupes de ressources : ListTagSyncTasks groupes de ressources : PutGroupConfiguration groupes de ressources : SearchResources groupes de ressources : StartTagSyncTask groupes de ressources : UngroupResources groupes de ressources : UpdateAccountSettings groupes de ressources : UpdateGroup groupes de ressources : UpdateGroupQuery  | 
| robomaker |  fabricant de robots : BatchDeleteWorlds fabricant de robots : BatchDescribeSimulationJob fabricant de robots : CancelDeploymentJob fabricant de robots : CancelSimulationJob fabricant de robots : CancelSimulationJobBatch fabricant de robots : CancelWorldExportJob fabricant de robots : CancelWorldGenerationJob fabricant de robots : CreateDeploymentJob fabricant de robots : CreateFleet fabricant de robots : CreateRobot fabricant de robots : CreateRobotApplication fabricant de robots : CreateRobotApplicationVersion fabricant de robots : CreateSimulationApplication fabricant de robots : CreateSimulationApplicationVersion fabricant de robots : CreateSimulationJob fabricant de robots : CreateWorldExportJob fabricant de robots : CreateWorldGenerationJob fabricant de robots : CreateWorldTemplate fabricant de robots : DeleteFleet fabricant de robots : DeleteRobot fabricant de robots : DeleteRobotApplication fabricant de robots : DeleteSimulationApplication fabricant de robots : DeleteWorldTemplate fabricant de robots : DeregisterRobot fabricant de robots : DescribeDeploymentJob fabricant de robots : DescribeFleet fabricant de robots : DescribeRobot fabricant de robots : DescribeRobotApplication fabricant de robots : DescribeSimulationApplication fabricant de robots : DescribeSimulationJob fabricant de robots : DescribeSimulationJobBatch fabricant de robots : DescribeWorld fabricant de robots : DescribeWorldExportJob fabricant de robots : DescribeWorldGenerationJob fabricant de robots : DescribeWorldTemplate fabricant de robots : GetWorldTemplateBody fabricant de robots : ListDeploymentJobs fabricant de robots : ListFleets fabricant de robots : ListRobotApplications fabricant de robots : ListRobots fabricant de robots : ListSimulationApplications fabricant de robots : ListSimulationJobBatches fabricant de robots : ListSimulationJobs fabricant de robots : ListWorldExportJobs fabricant de robots : ListWorldGenerationJobs fabricant de robots : ListWorldTemplates fabricant de robots : ListWorlds fabricant de robots : RegisterRobot fabricant de robots : RestartSimulationJob fabricant de robots : StartSimulationJobBatch fabricant de robots : SyncDeploymentJob fabricant de robots : UpdateRobotApplication fabricant de robots : UpdateSimulationApplication fabricant de robots : UpdateWorldTemplate  | 
| rolesanywhere |  rôles n'importe où : CreateProfile rôles n'importe où : CreateTrustAnchor rôles n'importe où : DeleteAttributeMapping rôles n'importe où : DeleteCrl rôles n'importe où : DeleteProfile rôles n'importe où : DeleteTrustAnchor rôles n'importe où : DisableCrl rôles n'importe où : DisableProfile rôles n'importe où : DisableTrustAnchor rôles n'importe où : EnableCrl rôles n'importe où : EnableProfile rôles n'importe où : EnableTrustAnchor rôles n'importe où : GetCrl rôles n'importe où : GetProfile rôles n'importe où : GetSubject rôles n'importe où : GetTrustAnchor rôles n'importe où : ImportCrl rôles n'importe où : ListCrls rôles n'importe où : ListProfiles rôles n'importe où : ListSubjects rôles n'importe où : ListTrustAnchors rôles n'importe où : PutAttributeMapping rôles n'importe où : PutNotificationSettings rôles n'importe où : ResetNotificationSettings rôles n'importe où : UpdateCrl rôles n'importe où : UpdateProfile rôles n'importe où : UpdateTrustAnchor  | 
| route53 |  route 53 : ActivateKeySigningKey Route 53 : Associé VPCWith HostedZone route 53 : ChangeCidrCollection route 53 : ChangeResourceRecordSets route 53 : CreateCidrCollection route 53 : CreateHealthCheck route 53 : CreateHostedZone route 53 : CreateKeySigningKey route 53 : CreateQueryLoggingConfig route 53 : CreateReusableDelegationSet route 53 : CreateTrafficPolicy route 53 : CreateTrafficPolicyInstance route 53 : CreateTrafficPolicyVersion Route 53 VPCAssociation : créer une autorisation route 53 : DeactivateKeySigningKey route 53 : DeleteCidrCollection route 53 : DeleteHealthCheck route 53 : DeleteHostedZone route 53 : DeleteKeySigningKey route 53 : DeleteQueryLoggingConfig route 53 : DeleteReusableDelegationSet route 53 : DeleteTrafficPolicy route 53 : DeleteTrafficPolicyInstance Route 53 : Supprimer l'VPCAssociationautorisation route 53 : DNSSEC DisableHostedZone Route 53 : Dissocier VPCFrom HostedZone route 53 : DNSSEC EnableHostedZone route 53 : GetAccountLimit route 53 : GetChange route 53 : GetCheckerIpRanges route53:GetDNSSEC route 53 : GetGeoLocation route 53 : GetHealthCheck route 53 : GetHealthCheckCount route 53 : GetHealthCheckLastFailureReason route 53 : GetHealthCheckStatus route 53 : GetHostedZone route 53 : GetHostedZoneCount route 53 : GetHostedZoneLimit route 53 : GetQueryLoggingConfig route 53 : GetReusableDelegationSet route 53 : GetReusableDelegationSetLimit route 53 : GetTrafficPolicy route 53 : GetTrafficPolicyInstance route 53 : GetTrafficPolicyInstanceCount route 53 : ListCidrBlocks route 53 : ListCidrCollections route 53 : ListCidrLocations route 53 : ListGeoLocations route 53 : ListHealthChecks route 53 : ListHostedZones route 53 : ListHostedZonesByName route 53 : VPC ListHostedZonesBy route 53 : ListQueryLoggingConfigs route 53 : ListResourceRecordSets route 53 : ListReusableDelegationSets route 53 : ListTrafficPolicies route 53 : ListTrafficPolicyInstances route 53 : ListTrafficPolicyInstancesByHostedZone route 53 : ListTrafficPolicyInstancesByPolicy route 53 : ListTrafficPolicyVersions Route 53 VPCAssociation : Lister les autorisations Route 53 : test DNSAnswer route 53 : UpdateHealthCheck route 53 : UpdateHostedZoneComment route 53 : UpdateTrafficPolicyComment route 53 : UpdateTrafficPolicyInstance  | 
| itinéraire 53- recovery-control-config |  itinéraire 53- : recovery-control-config CreateCluster itinéraire 53- : recovery-control-config CreateControlPanel itinéraire 53- : recovery-control-config CreateRoutingControl itinéraire 53- : recovery-control-config CreateSafetyRule itinéraire 53- : recovery-control-config DeleteCluster itinéraire 53- : recovery-control-config DeleteControlPanel itinéraire 53- : recovery-control-config DeleteRoutingControl itinéraire 53- : recovery-control-config DeleteSafetyRule itinéraire 53- : recovery-control-config DescribeCluster itinéraire 53- : recovery-control-config DescribeControlPanel itinéraire 53- : recovery-control-config DescribeRoutingControl itinéraire 53- : recovery-control-config DescribeSafetyRule itinéraire 53- : recovery-control-config GetResourcePolicy itinéraire 53- : recovery-control-config 53 ListAssociatedRoute HealthChecks itinéraire 53- : recovery-control-config ListClusters itinéraire 53- : recovery-control-config ListControlPanels itinéraire 53- : recovery-control-config ListRoutingControls itinéraire 53- : recovery-control-config ListSafetyRules itinéraire 53- : recovery-control-config UpdateCluster itinéraire 53- : recovery-control-config UpdateControlPanel itinéraire 53- : recovery-control-config UpdateRoutingControl itinéraire 53- : recovery-control-config UpdateSafetyRule  | 
| route53-recovery-readiness |  route 53 - préparation au rétablissement : CreateCell route 53 - préparation au rétablissement : CreateCrossAccountAuthorization route 53 - préparation au rétablissement : CreateReadinessCheck route 53 - préparation au rétablissement : CreateRecoveryGroup route 53 - préparation au rétablissement : CreateResourceSet route 53 - préparation au rétablissement : DeleteCell route 53 - préparation au rétablissement : DeleteCrossAccountAuthorization route 53 - préparation au rétablissement : DeleteReadinessCheck route 53 - préparation au rétablissement : DeleteRecoveryGroup route 53 - préparation au rétablissement : DeleteResourceSet route 53 - préparation au rétablissement : GetArchitectureRecommendations route 53 - préparation au rétablissement : GetCell route 53 - préparation au rétablissement : GetCellReadinessSummary route 53 - préparation au rétablissement : GetReadinessCheck route 53 - préparation au rétablissement : GetReadinessCheckResourceStatus route 53 - préparation au rétablissement : GetReadinessCheckStatus route 53 - préparation au rétablissement : GetRecoveryGroup route 53 - préparation au rétablissement : GetRecoveryGroupReadinessSummary route 53 - préparation au rétablissement : GetResourceSet route 53 - préparation au rétablissement : ListCells route 53 - préparation au rétablissement : ListCrossAccountAuthorizations route 53 - préparation au rétablissement : ListReadinessChecks route 53 - préparation au rétablissement : ListRecoveryGroups route 53 - préparation au rétablissement : ListResourceSets route 53 - préparation au rétablissement : ListRules route 53 - préparation au rétablissement : UpdateCell route 53 - préparation au rétablissement : UpdateReadinessCheck route 53 - préparation au rétablissement : UpdateRecoveryGroup route 53 - préparation au rétablissement : UpdateResourceSet  | 
| route53resolver |  résolveur Route53 : AssociateFirewallRuleGroup résolveur Route53 : AssociateResolverEndpointIpAddress résolveur Route53 : AssociateResolverQueryLogConfig résolveur Route53 : AssociateResolverRule résolveur Route53 : CreateFirewallDomainList résolveur Route53 : CreateFirewallRule résolveur Route53 : CreateFirewallRuleGroup résolveur Route53 : CreateResolverEndpoint résolveur Route53 : CreateResolverQueryLogConfig résolveur Route53 : CreateResolverRule résolveur Route53 : DeleteFirewallDomainList résolveur Route53 : DeleteFirewallRule résolveur Route53 : DeleteFirewallRuleGroup résolveur Route53 : DeleteOutpostResolver résolveur Route53 : DeleteResolverEndpoint résolveur Route53 : DeleteResolverQueryLogConfig résolveur Route53 : DeleteResolverRule résolveur Route53 : DisassociateFirewallRuleGroup résolveur Route53 : DisassociateResolverEndpointIpAddress résolveur Route53 : DisassociateResolverQueryLogConfig résolveur Route53 : DisassociateResolverRule résolveur Route53 : GetFirewallConfig résolveur Route53 : GetFirewallDomainList résolveur Route53 : GetFirewallRuleGroup résolveur Route53 : GetFirewallRuleGroupAssociation résolveur Route53 : GetFirewallRuleGroupPolicy résolveur Route53 : GetOutpostResolver résolveur Route53 : GetResolverConfig résolveur Route53 : GetResolverDnssecConfig résolveur Route53 : GetResolverEndpoint résolveur Route53 : GetResolverQueryLogConfig résolveur Route53 : GetResolverQueryLogConfigAssociation résolveur Route53 : GetResolverQueryLogConfigPolicy résolveur Route53 : GetResolverRule résolveur Route53 : GetResolverRuleAssociation résolveur Route53 : GetResolverRulePolicy résolveur Route53 : ImportFirewallDomains résolveur Route53 : ListFirewallConfigs résolveur Route53 : ListFirewallDomainLists résolveur Route53 : ListFirewallDomains résolveur Route53 : ListFirewallRuleGroupAssociations résolveur Route53 : ListFirewallRuleGroups résolveur Route53 : ListFirewallRules résolveur Route53 : ListOutpostResolvers résolveur Route53 : ListResolverConfigs résolveur Route53 : ListResolverDnssecConfigs résolveur Route53 : ListResolverEndpointIpAddresses résolveur Route53 : ListResolverEndpoints résolveur Route53 : ListResolverQueryLogConfigAssociations résolveur Route53 : ListResolverQueryLogConfigs résolveur Route53 : ListResolverRuleAssociations résolveur Route53 : ListResolverRules résolveur Route53 : PutFirewallRuleGroupPolicy résolveur Route53 : PutResolverQueryLogConfigPolicy résolveur Route53 : UpdateFirewallConfig résolveur Route53 : UpdateFirewallDomains résolveur Route53 : UpdateFirewallRule résolveur Route53 : UpdateFirewallRuleGroupAssociation résolveur Route53 : UpdateOutpostResolver résolveur Route53 : UpdateResolverConfig résolveur Route53 : UpdateResolverDnssecConfig résolveur Route53 : UpdateResolverEndpoint résolveur Route53 : UpdateResolverRule  | 
| rum |  rhum : BatchCreateRumMetricDefinitions rhum : BatchDeleteRumMetricDefinitions rhum : BatchGetRumMetricDefinitions rhum : CreateAppMonitor rhum : DeleteAppMonitor rhum : DeleteResourcePolicy rhum : DeleteRumMetricsDestination rhum : GetAppMonitor rhum : GetAppMonitorData rhum : GetResourcePolicy rhum : ListAppMonitors rhum : ListRumMetricsDestinations rhum : PutResourcePolicy rhum : PutRumMetricsDestination rhum : UpdateAppMonitor rhum : UpdateRumMetricDefinition  | 
| s3 |  s3 : AssociateAccessGrantsIdentityCenter s3 : CreateAccessGrant s3 : CreateAccessGrantsInstance s3 : CreateAccessGrantsLocation s3 : CreateAccessPoint s3 : CreateAccessPointForObjectLambda s3 : CreateBucket s3 : CreateBucketMetadataTableConfiguration s3 : CreateJob s3 : CreateMultiRegionAccessPoint s3 : DeleteAccessGrant s3 : DeleteAccessGrantsInstance s3 : DeleteAccessGrantsInstanceResourcePolicy s3 : DeleteAccessGrantsLocation s3 : DeleteAccessPoint s3 : DeleteAccessPointForObjectLambda s3 : DeleteAccessPointPolicy s3 : DeleteAccessPointPolicyForObjectLambda s3 : DeleteBucket s3 : DeleteBucketMetadataTableConfiguration s3 : DeleteBucketPolicy s3 : DeleteBucketWebsite s3 : DeleteMultiRegionAccessPoint s3 : DeleteStorageLensConfiguration s3 : DescribeJob s3 : DescribeMultiRegionAccessPointOperation s3 : DissociateAccessGrantsIdentityCenter s3 : GetAccelerateConfiguration s3 : GetAccessGrant s3 : GetAccessGrantsInstance s3 : GetAccessGrantsInstanceForPrefix s3 : GetAccessGrantsInstanceResourcePolicy s3 : GetAccessGrantsLocation s3 : GetAccessPoint s3 : GetAccessPointConfigurationForObjectLambda s3 : GetAccessPointForObjectLambda s3 : GetAccessPointPolicy s3 : GetAccessPointPolicyForObjectLambda s3 : GetAccessPointPolicyStatus s3 : GetAccessPointPolicyStatusForObjectLambda s3 : GetAccountPublicAccessBlock s3 : GetAnalyticsConfiguration s3 : GetBucketAbac s3 : GetBucketAcl s3 : GetBucket CORS s3 : GetBucketLocation s3 : GetBucketLogging s3 : GetBucketNotification s3 : GetBucketObjectLockConfiguration s3 : GetBucketOwnershipControls s3 : GetBucketPolicy s3 : GetBucketPolicyStatus s3 : GetBucketPublicAccessBlock s3 : GetBucketRequestPayment s3 : GetBucketVersioning s3 : GetBucketWebsite s3 : GetDataAccess s3 : GetEncryptionConfiguration s3 : GetIntelligentTieringConfiguration s3 : GetInventoryConfiguration s3 : GetLifecycleConfiguration s3 : GetMetricsConfiguration s3 : GetMultiRegionAccessPoint s3 : GetMultiRegionAccessPointPolicy s3 : GetMultiRegionAccessPointPolicyStatus s3 : GetMultiRegionAccessPointRoutes s3 : GetReplicationConfiguration s3 : GetStorageLensConfiguration s3 : GetStorageLensDashboard s3 : ListAccessGrants s3 : ListAccessGrantsInstances s3 : ListAccessGrantsLocations s3 : ListAccessPoints s3 : ListAccessPointsForObjectLambda s3 : ListAllMyBuckets s3 : ListBucketMultipartUploads s3 : ListCallerAccessGrants s3 : ListJobs s3 : ListMultiRegionAccessPoints s3 : ListStorageLensConfigurations s3 : PutAccelerateConfiguration s3 : PutAccessGrantsInstanceResourcePolicy s3 : PutAccessPointConfigurationForObjectLambda s3 : PutAccessPointPolicy s3 : PutAccessPointPolicyForObjectLambda s3 : PutAccountPublicAccessBlock s3 : PutAnalyticsConfiguration s3 : PutBucketAbac s3 : PutBucketAcl s3 : PutBucket CORS s3 : PutBucketLogging s3 : PutBucketNotification s3 : PutBucketObjectLockConfiguration s3 : PutBucketOwnershipControls s3 : PutBucketPolicy s3 : PutBucketPublicAccessBlock s3 : PutBucketRequestPayment s3 : PutBucketVersioning s3 : PutBucketWebsite s3 : PutEncryptionConfiguration s3 : PutIntelligentTieringConfiguration s3 : PutInventoryConfiguration s3 : PutLifecycleConfiguration s3 : PutMetricsConfiguration s3 : PutMultiRegionAccessPointPolicy s3 : PutReplicationConfiguration s3 : PutStorageLensConfiguration s3 : SubmitMultiRegionAccessPointRoutes s3 : UpdateAccessGrantsLocation s3 : UpdateBucketMetadataJournalTableConfiguration s3 : UpdateJobPriority s3 : UpdateJobStatus  | 
| s3-outposts |  avant-postes S3 : CreateEndpoint avant-postes S3 : DeleteEndpoint avant-postes S3 : ListEndpoints avant-postes S3 : S3 ListOutpostsWith avant-postes S3 : ListSharedEndpoints  | 
| sagemaker-geospatial |  sagemaker-geospatial : DeleteEarthObservationJob sagemaker-geospatial : DeleteVectorEnrichmentJob sagemaker-geospatial : ExportEarthObservationJob sagemaker-geospatial : ExportVectorEnrichmentJob sagemaker-geospatial : GetEarthObservationJob sagemaker-geospatial : GetRasterDataCollection sagemaker-geospatial : GetTile sagemaker-geospatial : GetVectorEnrichmentJob sagemaker-geospatial : ListEarthObservationJobs sagemaker-geospatial : ListRasterDataCollections sagemaker-geospatial : ListVectorEnrichmentJobs sagemaker-geospatial : SearchRasterDataCollection sagemaker-geospatial : StartEarthObservationJob sagemaker-geospatial : StartVectorEnrichmentJob sagemaker-geospatial : StopEarthObservationJob sagemaker-geospatial : StopVectorEnrichmentJob  | 
| savingsplans |  plans d'épargne : CreateSavingsPlan plans d'épargne : DeleteQueuedSavingsPlan plans d'épargne : DescribeSavingsPlanRates plans d'épargne : DescribeSavingsPlans plans d'épargne : DescribeSavingsPlansOfferingRates plans d'épargne : DescribeSavingsPlansOfferings plans d'épargne : ReturnSavingsPlan  | 
| schemas |  schémas : CreateDiscoverer schémas : CreateRegistry schémas : CreateSchema schémas : DeleteDiscoverer schémas : DeleteRegistry schémas : DeleteResourcePolicy schémas : DeleteSchema schémas : DeleteSchemaVersion schémas : DescribeCodeBinding schémas : DescribeDiscoverer schémas : DescribeRegistry schémas : DescribeSchema schémas : ExportSchema schémas : GetCodeBindingSource schémas : GetDiscoveredSchema schémas : GetResourcePolicy schémas : ListDiscoverers schémas : ListRegistries schémas : ListSchemaVersions schémas : ListSchemas schémas : PutCodeBinding schémas : PutResourcePolicy schémas : SearchSchemas schémas : StartDiscoverer schémas : StopDiscoverer schémas : UpdateDiscoverer schémas : UpdateRegistry schémas : UpdateSchema  | 
| sdb |  sdb : CreateDomain sdb : DeleteDomain sdb : DomainMetadata sdb : ListDomains  | 
| secretsmanager |  responsable des secrets : CancelRotateSecret responsable des secrets : CreateSecret responsable des secrets : DeleteResourcePolicy responsable des secrets : DeleteSecret responsable des secrets : DescribeSecret responsable des secrets : GetRandomPassword responsable des secrets : GetResourcePolicy responsable des secrets : GetSecretValue responsable des secrets : ListSecretVersionIds responsable des secrets : ListSecrets responsable des secrets : PutResourcePolicy responsable des secrets : PutSecretValue responsable des secrets : RemoveRegionsFromReplication responsable des secrets : ReplicateSecretToRegions responsable des secrets : RestoreSecret responsable des secrets : RotateSecret responsable des secrets : StopReplicationToReplica responsable des secrets : UpdateSecret responsable des secrets : ValidateResourcePolicy  | 
| securityhub |  hub de sécurité : AcceptAdministratorInvitation hub de sécurité : AcceptInvitation hub de sécurité : BatchDeleteAutomationRules hub de sécurité : BatchDisableStandards hub de sécurité : BatchEnableStandards hub de sécurité : BatchGetAutomationRules hub de sécurité : BatchGetConfigurationPolicyAssociations hub de sécurité : BatchGetSecurityControls hub de sécurité : BatchGetStandardsControlAssociations hub de sécurité : BatchImportFindings hub de sécurité : BatchUpdateAutomationRules hub de sécurité : BatchUpdateFindings hub de sécurité : BatchUpdateStandardsControlAssociations hub de sécurité : V2 ConnectorRegistrations hub de sécurité : CreateActionTarget hub de sécurité : V2 CreateAggregator hub de sécurité : CreateAutomationRule hub de sécurité : V2 CreateAutomationRule hub de sécurité : CreateConfigurationPolicy hub de sécurité : V2 CreateConnector hub de sécurité : CreateFindingAggregator hub de sécurité : CreateInsight hub de sécurité : CreateMembers hub de sécurité : V2 CreateTicket hub de sécurité : DeclineInvitations hub de sécurité : DeleteActionTarget hub de sécurité : V2 DeleteAggregator hub de sécurité : V2 DeleteAutomationRule hub de sécurité : DeleteConfigurationPolicy hub de sécurité : V2 DeleteConnector hub de sécurité : DeleteFindingAggregator hub de sécurité : DeleteInsight hub de sécurité : DeleteInvitations hub de sécurité : DeleteMembers hub de sécurité : DescribeActionTargets hub de sécurité : DescribeHub hub de sécurité : DescribeOrganizationConfiguration hub de sécurité : DescribeProducts hub de sécurité : V2 DescribeSecurityHub hub de sécurité : DescribeStandards hub de sécurité : DisableImportFindingsForProduct hub de sécurité : DisableOrganizationAdminAccount hub de sécurité : DisableSecurityHub hub de sécurité : V2 DisableSecurityHub hub de sécurité : DisassociateFromAdministratorAccount hub de sécurité : DisassociateFromMasterAccount hub de sécurité : DisassociateMembers hub de sécurité : EnableImportFindingsForProduct hub de sécurité : EnableOrganizationAdminAccount hub de sécurité : EnableSecurityHub hub de sécurité : GetAdministratorAccount hub de sécurité : V2 GetAggregator hub de sécurité : V2 GetAutomationRule hub de sécurité : GetConfigurationPolicy hub de sécurité : GetConfigurationPolicyAssociation hub de sécurité : V2 GetConnector hub de sécurité : GetEnabledStandards hub de sécurité : GetFindingAggregator hub de sécurité : GetFindingHistory hub de sécurité : GetFindings hub de sécurité : GetInsightResults hub de sécurité : GetInsights hub de sécurité : GetInvitationsCount hub de sécurité : GetMasterAccount hub de sécurité : GetMembers hub de sécurité : GetSecurityControlDefinition hub de sécurité : InviteMembers hub de sécurité : V2 ListAggregators hub de sécurité : ListAutomationRules hub de sécurité : V2 ListAutomationRules hub de sécurité : ListConfigurationPolicies hub de sécurité : ListConfigurationPolicyAssociations hub de sécurité : V2 ListConnectors hub de sécurité : ListEnabledProductsForImport hub de sécurité : ListFindingAggregators hub de sécurité : ListInvitations hub de sécurité : ListMembers hub de sécurité : ListOrganizationAdminAccounts hub de sécurité : ListSecurityControlDefinitions hub de sécurité : ListStandardsControlAssociations hub de sécurité : StartConfigurationPolicyAssociation hub de sécurité : StartConfigurationPolicyDisassociation hub de sécurité : UpdateActionTarget hub de sécurité : V2 UpdateAggregator hub de sécurité : V2 UpdateAutomationRule hub de sécurité : UpdateConfigurationPolicy hub de sécurité : V2 UpdateConnector hub de sécurité : UpdateFindingAggregator hub de sécurité : UpdateFindings hub de sécurité : UpdateInsight hub de sécurité : UpdateOrganizationConfiguration hub de sécurité : UpdateSecurityControl hub de sécurité : UpdateSecurityHubConfiguration  | 
| securitylake |  lac de sécurité : CreateAwsLogSource lac de sécurité : CreateCustomLogSource lac de sécurité : CreateDataLakeExceptionSubscription lac de sécurité : CreateDataLakeOrganizationConfiguration lac de sécurité : CreateSubscriber lac de sécurité : CreateSubscriberNotification lac de sécurité : DeleteAwsLogSource lac de sécurité : DeleteCustomLogSource lac de sécurité : DeleteDataLakeExceptionSubscription lac de sécurité : DeleteDataLakeOrganizationConfiguration lac de sécurité : DeleteSubscriber lac de sécurité : DeleteSubscriberNotification lac de sécurité : DeregisterDataLakeDelegatedAdministrator lac de sécurité : GetDataLakeExceptionSubscription lac de sécurité : GetDataLakeOrganizationConfiguration lac de sécurité : GetDataLakeSources lac de sécurité : GetSubscriber lac de sécurité : ListDataLakes lac de sécurité : ListLogSources lac de sécurité : ListSubscribers lac de sécurité : RegisterDataLakeDelegatedAdministrator lac de sécurité : UpdateDataLakeExceptionSubscription lac de sécurité : UpdateSubscriber lac de sécurité : UpdateSubscriberNotification  | 
| serverlessrepo |  dépôt sans serveur : CreateApplication dépôt sans serveur : CreateApplicationVersion dépôt sans serveur : CreateCloudFormationChangeSet dépôt sans serveur : CreateCloudFormationTemplate dépôt sans serveur : DeleteApplication dépôt sans serveur : GetApplication dépôt sans serveur : GetApplicationPolicy dépôt sans serveur : GetCloudFormationTemplate dépôt sans serveur : ListApplicationDependencies dépôt sans serveur : ListApplicationVersions dépôt sans serveur : ListApplications dépôt sans serveur : PutApplicationPolicy dépôt sans serveur : UnshareApplication dépôt sans serveur : UpdateApplication  | 
| servicecatalog |  catalogue de services : AcceptPortfolioShare catalogue de services : AssociateBudgetWithResource catalogue de services : AssociatePrincipalWithPortfolio catalogue de services : AssociateProductWithPortfolio catalogue de services : AssociateServiceActionWithProvisioningArtifact catalogue de services : BatchAssociateServiceActionWithProvisioningArtifact catalogue de services : BatchDisassociateServiceActionFromProvisioningArtifact catalogue de services : CopyProduct catalogue de services : CreateAttributeGroup catalogue de services : CreateConstraint catalogue de services : CreatePortfolio catalogue de services : CreatePortfolioShare catalogue de services : CreateProduct catalogue de services : CreateProvisionedProductPlan catalogue de services : CreateProvisioningArtifact catalogue de services : CreateServiceAction catalogue de services : DeleteAttributeGroup catalogue de services : DeleteConstraint catalogue de services : DeletePortfolio catalogue de services : DeletePortfolioShare catalogue de services : DeleteProduct catalogue de services : DeleteProvisionedProductPlan catalogue de services : DeleteProvisioningArtifact catalogue de services : DeleteServiceAction catalogue de services : DescribeConstraint catalogue de services : DescribeCopyProductStatus catalogue de services : DescribePortfolio catalogue de services : DescribePortfolioShareStatus catalogue de services : DescribePortfolioShares catalogue de services : DescribeProduct catalogue de services : DescribeProductAsAdmin catalogue de services : DescribeProductView catalogue de services : DescribeProvisionedProduct catalogue de services : DescribeProvisionedProductPlan catalogue de services : DescribeProvisioningArtifact catalogue de services : DescribeProvisioningParameters catalogue de services : DescribeRecord catalogue de services : DescribeServiceAction catalogue de services : DescribeServiceActionExecutionParameters Catalogue de services : Désactiver l'accès AWSOrganizations catalogue de services : DisassociateBudgetFromResource catalogue de services : DisassociatePrincipalFromPortfolio catalogue de services : DisassociateProductFromPortfolio catalogue de services : DisassociateServiceActionFromProvisioningArtifact Catalogue de services : activer l'accès AWSOrganizations catalogue de services : ExecuteProvisionedProductPlan catalogue de services : ExecuteProvisionedProductServiceAction Catalogue de services : GET AWSOrganizations AccessStatus catalogue de services : GetProvisionedProductOutputs catalogue de services : ImportAsProvisionedProduct catalogue de services : ListAcceptedPortfolioShares catalogue de services : ListAttributeGroups catalogue de services : ListBudgetsForResource catalogue de services : ListConstraintsForPortfolio catalogue de services : ListLaunchPaths catalogue de services : ListOrganizationPortfolioAccess catalogue de services : ListPortfolioAccess catalogue de services : ListPortfolios catalogue de services : ListPortfoliosForProduct catalogue de services : ListPrincipalsForPortfolio catalogue de services : ListProvisionedProductPlans catalogue de services : ListProvisioningArtifacts catalogue de services : ListProvisioningArtifactsForServiceAction catalogue de services : ListRecordHistory catalogue de services : ListServiceActions catalogue de services : ListServiceActionsForProvisioningArtifact catalogue de services : ListStackInstancesForProvisionedProduct catalogue de services : NotifyProvisionProductEngineWorkflowResult catalogue de services : NotifyTerminateProvisionedProductEngineWorkflowResult catalogue de services : NotifyUpdateProvisionedProductEngineWorkflowResult catalogue de services : ProvisionProduct catalogue de services : RejectPortfolioShare catalogue de services : ScanProvisionedProducts catalogue de services : SearchProducts catalogue de services : SearchProductsAsAdmin catalogue de services : SearchProvisionedProducts catalogue de services : TerminateProvisionedProduct catalogue de services : UpdateConstraint catalogue de services : UpdatePortfolio catalogue de services : UpdatePortfolioShare catalogue de services : UpdateProduct catalogue de services : UpdateProvisionedProduct catalogue de services : UpdateProvisionedProductProperties catalogue de services : UpdateProvisioningArtifact catalogue de services : UpdateServiceAction  | 
| servicediscovery |  découverte des services : CreateHttpNamespace découverte des services : CreatePrivateDnsNamespace découverte des services : CreatePublicDnsNamespace découverte des services : CreateService découverte des services : DeleteNamespace découverte des services : DeleteService découverte des services : DeleteServiceAttributes découverte des services : DeregisterInstance Découverte des services : GetInstance Découverte des services : GetInstancesHealthStatus Découverte des services : GetNamespace Découverte des services : GetOperation Découverte des services : GetService Découverte des services : ListInstances Découverte des services : ListNamespaces Découverte des services : ListOperations Découverte des services : ListServices Découverte des services : RegisterInstance Découverte des services : UpdateHttpNamespace Découverte des services : UpdateInstanceCustomHealthStatus Découverte des services : UpdatePrivateDnsNamespace Découverte des services : UpdatePublicDnsNamespace Découverte des services : UpdateService Découverte des services : UpdateServiceAttributes  | 
| servicequotas |  devis de service : AssociateServiceQuotaTemplate devis de service : CreateSupportCase devis de service : DeleteServiceQuotaIncreaseRequestFromTemplate devis de service : DisassociateServiceQuotaTemplate Quotas de service : GET AWSDefault ServiceQuota devis de service : GetAssociationForServiceQuotaTemplate devis de service : GetAutoManagementConfiguration devis de service : GetQuotaUtilizationReport devis de service : GetRequestedServiceQuotaChange devis de service : GetServiceQuota devis de service : GetServiceQuotaIncreaseRequestFromTemplate Quotas de service : liste AWSDefault ServiceQuotas devis de service : ListRequestedServiceQuotaChangeHistory devis de service : ListRequestedServiceQuotaChangeHistoryByQuota devis de service : ListServiceQuotaIncreaseRequestsInTemplate devis de service : ListServiceQuotas devis de service : ListServices devis de service : PutServiceQuotaIncreaseRequestIntoTemplate devis de service : RequestServiceQuotaIncrease devis de service : StartAutoManagement devis de service : StartQuotaUtilizationReport devis de service : StopAutoManagement devis de service : UpdateAutoManagement  | 
| ses |  Utilise : BatchGetMetricData Utilise : CloneReceiptRuleSet Utilise : CreateAddonInstance Utilise : CreateAddonSubscription Utilise : CreateAddressList Utilise : CreateAddressListImportJob Utilise : CreateArchive Utilise : CreateConfigurationSet Utilise : CreateConfigurationSetEventDestination Utilise : CreateConfigurationSetTrackingOptions Utilise : CreateContact Utilise : CreateContactList Utilise : CreateCustomVerificationEmailTemplate Utilise : CreateDedicatedIpPool Utilise : CreateDeliverabilityTestReport Utilise : CreateEmailIdentity Utilise : CreateEmailIdentityPolicy Utilise : CreateEmailTemplate Utilise : CreateImportJob Utilise : CreateIngressPoint Utilise : CreateMultiRegionEndpoint Utilise : CreateReceiptFilter Utilise : CreateReceiptRule Utilise : CreateReceiptRuleSet Utilise : CreateRelay Utilise : CreateRuleSet Utilise : CreateTemplate Utilise : CreateTenant Utilise : CreateTenantResourceAssociation Utilise : CreateTrafficPolicy Utilise : DeleteAddonInstance Utilise : DeleteAddonSubscription Utilise : DeleteAddressList Utilise : DeleteArchive Utilise : DeleteConfigurationSet Utilise : DeleteConfigurationSetEventDestination Utilise : DeleteConfigurationSetTrackingOptions Utilise : DeleteContact Utilise : DeleteContactList Utilise : DeleteCustomVerificationEmailTemplate Utilise : DeleteDedicatedIpPool Utilise : DeleteEmailIdentity Utilise : DeleteEmailIdentityPolicy Utilise : DeleteEmailTemplate Utilise : DeleteIdentity Utilise : DeleteIdentityPolicy Utilise : DeleteIngressPoint Utilise : DeleteMultiRegionEndpoint Utilise : DeleteReceiptFilter Utilise : DeleteReceiptRule Utilise : DeleteReceiptRuleSet Utilise : DeleteRelay Utilise : DeleteRuleSet Utilise : DeleteSuppressedDestination Utilise : DeleteTemplate Utilise : DeleteTenant Utilise : DeleteTenantResourceAssociation Utilise : DeleteTrafficPolicy Utilise : DeleteVerifiedEmailAddress Utilise : DeregisterMemberFromAddressList Utilise : DescribeActiveReceiptRuleSet Utilise : DescribeConfigurationSet Utilise : DescribeReceiptRule Utilise : DescribeReceiptRuleSet Utilise : GetAccount Utilise : GetAccountSendingEnabled Utilise : GetAddonInstance Utilise : GetAddonSubscription Utilise : GetAddressList Utilise : GetArchive Utilise : GetArchiveExport Utilise : GetArchiveMessage Utilise : GetArchiveMessageContent Utilise : GetArchiveSearch Utilise : GetArchiveSearchResults Utilise : GetBlacklistReports Utilise : GetConfigurationSet Utilise : GetConfigurationSetEventDestinations Utilise : GetContact Utilise : GetContactList Utilise : GetCustomVerificationEmailTemplate Utilise : GetDedicatedIp Utilise : GetDedicatedIpPool Utilise : GetDedicatedIps Utilise : GetDeliverabilityDashboardOptions Utilise : GetDeliverabilityTestReport Utilise : GetDomainDeliverabilityCampaign Utilise : GetDomainStatisticsReport Utilise : GetEmailAddressInsights Utilise : GetEmailIdentity Utilise : GetEmailIdentityPolicies Utilise : GetEmailTemplate Utilise : GetIdentityDkimAttributes Utilise : GetIdentityMailFromDomainAttributes Utilise : GetIdentityNotificationAttributes Utilise : GetIdentityPolicies Utilise : GetIdentityVerificationAttributes Utilise : GetImportJob Utilise : GetIngressPoint Utilise : GetMemberOfAddressList Utilise : GetMessageInsights Utilise : GetMultiRegionEndpoint Utilise : GetRelay Utilise : GetRuleSet Utilise : GetSendQuota Utilise : GetSendStatistics Utilise : GetSuppressedDestination Utilise : GetTemplate Utilise : GetTenant Utilise : GetTrafficPolicy Utilise : ListAddonInstances Utilise : ListAddonSubscriptions Utilise : ListAddressListImportJobs Utilise : ListAddressLists Utilise : ListArchiveExports Utilise : ListArchiveSearches Utilise : ListArchives Utilise : ListConfigurationSets Utilise : ListContactLists Utilise : ListContacts Utilise : ListCustomVerificationEmailTemplates Utilise : ListDedicatedIpPools Utilise : ListDeliverabilityTestReports Utilise : ListDomainDeliverabilityCampaigns Utilise : ListEmailIdentities Utilise : ListEmailTemplates Utilise : ListExportJobs Utilise : ListIdentities Utilise : ListIdentityPolicies Utilise : ListImportJobs Utilise : ListIngressPoints Utilise : ListMembersOfAddressList Utilise : ListMultiRegionEndpoints Utilise : ListReceiptFilters Utilise : ListReceiptRuleSets Utilise : ListRecommendations Utilise : ListRelays Utilise : ListReputationEntities Utilise : ListResourceTenants Utilise : ListRuleSets Utilise : ListSuppressedDestinations Utilise : ListTemplates Utilise : ListTenantResources Utilise : ListTenants Utilise : ListTrafficPolicies Utilise : ListVerifiedEmailAddresses Utilise : PutAccountDedicatedIpWarmupAttributes Utilise : PutAccountDetails Utilise : PutAccountSendingAttributes Utilise : PutAccountSuppressionAttributes Utilise : PutAccountVdmAttributes Utilise : PutConfigurationSetArchivingOptions Utilise : PutConfigurationSetDeliveryOptions Utilise : PutConfigurationSetReputationOptions Utilise : PutConfigurationSetSendingOptions Utilise : PutConfigurationSetSuppressionOptions Utilise : PutConfigurationSetTrackingOptions Utilise : PutConfigurationSetVdmOptions Utilise : PutDedicatedIpInPool Utilise : PutDedicatedIpPoolScalingAttributes Utilise : PutDedicatedIpWarmupAttributes Utilise : PutDeliverabilityDashboardOption Utilise : PutEmailIdentityConfigurationSetAttributes Utilise : PutEmailIdentityDkimAttributes Utilise : PutEmailIdentityDkimSigningAttributes Utilise : PutEmailIdentityFeedbackAttributes Utilise : PutEmailIdentityMailFromAttributes Utilise : PutIdentityPolicy Utilise : PutSuppressedDestination Utilise : RegisterMemberToAddressList Utilise : ReorderReceiptRuleSet Utilise : SendBounce Utilise : SendCustomVerificationEmail Utilise : SetActiveReceiptRuleSet Utilise : SetIdentityDkimEnabled Utilise : SetIdentityFeedbackForwardingEnabled Utilise : SetIdentityHeadersInNotificationsEnabled Utilise : SetIdentityMailFromDomain Utilise : SetIdentityNotificationTopic Utilise : SetReceiptRulePosition Utilise : StartArchiveExport Utilise : StartArchiveSearch Utilise : StopArchiveExport Utilise : StopArchiveSearch Utilise : TestRenderEmailTemplate Utilise : TestRenderTemplate Utilise : UpdateAccountSendingEnabled Utilise : UpdateArchive Utilise : UpdateConfigurationSetEventDestination Utilise : UpdateConfigurationSetReputationMetricsEnabled Utilise : UpdateConfigurationSetSendingEnabled Utilise : UpdateConfigurationSetTrackingOptions Utilise : UpdateContact Utilise : UpdateContactList Utilise : UpdateCustomVerificationEmailTemplate Utilise : UpdateEmailIdentityPolicy Utilise : UpdateEmailTemplate Utilise : UpdateIngressPoint Utilise : UpdateReceiptRule Utilise : UpdateRelay Utilise : UpdateRuleSet Utilise : UpdateTemplate Utilise : UpdateTrafficPolicy Utilise : VerifyDomainDkim Utilise : VerifyDomainIdentity Utilise : VerifyEmailAddress Utilise : VerifyEmailIdentity  | 
| shield |  Bouclier : Associate Bucket DRTLog bouclier : AssociateHealthCheck bouclier : AssociateProactiveEngagementDetails bouclier : CreateProtection bouclier : CreateProtectionGroup bouclier : CreateSubscription bouclier : DeleteProtection bouclier : DeleteProtectionGroup bouclier : DeleteSubscription bouclier : DescribeAttack bouclier : DescribeAttackStatistics Bouclier : Décrivez DRTAccess bouclier : DescribeEmergencyContactSettings bouclier : DescribeProtection bouclier : DescribeProtectionGroup bouclier : DescribeSubscription bouclier : DisableApplicationLayerAutomaticResponse bouclier : DisableProactiveEngagement Bouclier : compartiment dissocié DRTLog Bouclier : dissocier DRTRole bouclier : DisassociateHealthCheck bouclier : EnableApplicationLayerAutomaticResponse bouclier : EnableProactiveEngagement bouclier : GetSubscriptionState bouclier : ListAttacks bouclier : ListProtectionGroups bouclier : ListProtections bouclier : ListResourcesInProtectionGroup bouclier : UpdateApplicationLayerAutomaticResponse bouclier : UpdateEmergencyContactSettings bouclier : UpdateProtectionGroup bouclier : UpdateSubscription  | 
| signer |  signataire : AddProfilePermission signataire : CancelSigningProfile signataire : DescribeSigningJob signataire : GetSigningPlatform signataire : GetSigningProfile signataire : ListProfilePermissions signataire : ListSigningJobs signataire : ListSigningPlatforms signataire : ListSigningProfiles signataire : PutSigningProfile signataire : RemoveProfilePermission signataire : RevokeSignature signataire : RevokeSigningProfile signataire : SignPayload signataire : StartSigningJob  | 
| simspaceweaver |  Simspaceweaver : CreateSnapshot Simspaceweaver : DeleteApp Simspaceweaver : DeleteSimulation Simspaceweaver : DescribeApp Simspaceweaver : DescribeSimulation Simspaceweaver : ListApps Simspaceweaver : ListSimulations Simspaceweaver : StartApp Simspaceweaver : StartClock Simspaceweaver : StartSimulation Simspaceweaver : StopApp Simspaceweaver : StopClock Simspaceweaver : StopSimulation  | 
| sms |  SMS : CreateApp SMS : CreateReplicationJob SMS : DeleteApp SMS : DeleteAppLaunchConfiguration SMS : DeleteAppReplicationConfiguration SMS : DeleteAppValidationConfiguration SMS : DeleteReplicationJob SMS : DeleteServerCatalog SMS : DisassociateConnector SMS : GenerateChangeSet SMS : GenerateTemplate SMS : GetApp SMS : GetAppLaunchConfiguration SMS : GetAppReplicationConfiguration SMS : GetAppValidationConfiguration SMS : GetAppValidationOutput SMS : GetConnectors SMS : GetReplicationJobs SMS : GetReplicationRuns SMS : GetServers SMS : ImportAppCatalog SMS : ImportServerCatalog SMS : LaunchApp SMS : ListApps SMS : NotifyAppValidationOutput SMS : PutAppLaunchConfiguration SMS : PutAppReplicationConfiguration SMS : PutAppValidationConfiguration SMS : StartAppReplication SMS : StartOnDemandAppReplication SMS : StartOnDemandReplicationRun SMS : StopAppReplication SMS : TerminateApp SMS : UpdateApp SMS : UpdateReplicationJob  | 
| sms-voice |  SMS et voix : AssociateProtectConfiguration SMS et voix : CreateConfigurationSet SMS et voix : CreateConfigurationSetEventDestination SMS et voix : CreateEventDestination SMS et voix : CreateOptOutList SMS et voix : CreatePool SMS et voix : CreateProtectConfiguration SMS et voix : CreateRegistration SMS et voix : CreateRegistrationAssociation SMS et voix : CreateRegistrationAttachment SMS et voix : CreateRegistrationVersion SMS et voix : CreateVerifiedDestinationNumber SMS et voix : DeleteAccountDefaultProtectConfiguration SMS et voix : DeleteConfigurationSet SMS et voix : DeleteConfigurationSetEventDestination SMS et voix : DeleteDefaultMessageType SMS et voix : DeleteDefaultSenderId SMS et voix : DeleteEventDestination SMS et voix : DeleteKeyword SMS et voix : DeleteMediaMessageSpendLimitOverride SMS et voix : DeleteOptOutList SMS et voix : DeleteOptedOutNumber SMS et voix : DeletePool SMS et voix : DeleteProtectConfiguration SMS et voix : DeleteProtectConfigurationRuleSetNumberOverride SMS et voix : DeleteRegistration SMS et voix : DeleteRegistrationAttachment SMS et voix : DeleteResourcePolicy SMS et voix : DeleteTextMessageSpendLimitOverride SMS et voix : DeleteVerifiedDestinationNumber SMS et voix : DeleteVoiceMessageSpendLimitOverride SMS et voix : DescribeAccountAttributes SMS et voix : DescribeAccountLimits SMS et voix : DescribeConfigurationSets SMS et voix : DescribeKeywords SMS et voix : DescribeOptOutLists SMS et voix : DescribeOptedOutNumbers SMS et voix : DescribePhoneNumbers SMS et voix : DescribePools SMS et voix : DescribeProtectConfigurations SMS et voix : DescribeRegistrationAttachments SMS et voix : DescribeRegistrationFieldDefinitions SMS et voix : DescribeRegistrationFieldValues SMS et voix : DescribeRegistrationSectionDefinitions SMS et voix : DescribeRegistrationTypeDefinitions SMS et voix : DescribeRegistrationVersions SMS et voix : DescribeRegistrations SMS et voix : DescribeSenderIds SMS et voix : DescribeSpendLimits SMS et voix : DescribeVerifiedDestinationNumbers SMS et voix : DisassociateOriginationIdentity SMS et voix : DisassociateProtectConfiguration SMS et voix : DiscardRegistrationVersion SMS et voix : GetConfigurationSetEventDestinations SMS et voix : GetProtectConfigurationCountryRuleSet SMS et voix : GetResourcePolicy SMS et voix : ListConfigurationSets SMS et voix : ListPoolOriginationIdentities SMS et voix : ListProtectConfigurationRuleSetNumberOverrides SMS et voix : ListRegistrationAssociations SMS et voix : PutKeyword SMS et voix : PutOptedOutNumber SMS et voix : PutProtectConfigurationRuleSetNumberOverride SMS et voix : PutResourcePolicy SMS et voix : ReleasePhoneNumber SMS et voix : ReleaseSenderId SMS et voix : RequestPhoneNumber SMS et voix : RequestSenderId SMS et voix : SendDestinationNumberVerificationCode SMS et voix : SetAccountDefaultProtectConfiguration SMS et voix : SetDefaultMessageFeedbackEnabled SMS et voix : SetDefaultMessageType SMS et voix : SetDefaultSenderId SMS et voix : SetMediaMessageSpendLimitOverride SMS et voix : SetTextMessageSpendLimitOverride SMS et voix : SetVoiceMessageSpendLimitOverride SMS et voix : SubmitRegistrationVersion SMS et voix : UpdateConfigurationSetEventDestination SMS et voix : UpdateEventDestination SMS et voix : UpdatePhoneNumber SMS et voix : UpdatePool SMS et voix : UpdateProtectConfiguration SMS et voix : UpdateProtectConfigurationCountryRuleSet SMS et voix : UpdateSenderId  | 
| snowball |  boule de neige : CancelCluster boule de neige : CancelJob boule de neige : CreateAddress boule de neige : CreateCluster boule de neige : CreateJob boule de neige : CreateLongTermPricing boule de neige : CreateReturnShippingLabel boule de neige : DescribeAddress boule de neige : DescribeAddresses boule de neige : DescribeCluster boule de neige : DescribeJob boule de neige : DescribeReturnShippingLabel boule de neige : GetJobManifest boule de neige : GetJobUnlockCode boule de neige : GetSnowballUsage boule de neige : GetSoftwareUpdates boule de neige : ListClusterJobs boule de neige : ListClusters boule de neige : ListCompatibleImages boule de neige : ListJobs boule de neige : ListLongTermPricing boule de neige : ListPickupLocations boule de neige : ListServiceVersions boule de neige : UpdateCluster boule de neige : UpdateJob boule de neige : UpdateJobShipmentState boule de neige : UpdateLongTermPricing  | 
| sqs |  sqs : AddPermission sqs : CancelMessageMoveTask sqs : CreateQueue sqs : DeleteQueue sqs : PurgeQueue sqs : RemovePermission sqs : SetQueueAttributes  | 
| ssm |  SMS : AssociateOpsItemRelatedItem SMS : CancelCommand SMS : CancelMaintenanceWindowExecution SMS : CreateActivation SMS : CreateAssociation SMS : CreateAssociationBatch SMS : CreateDocument SMS : CreateMaintenanceWindow SMS : CreateOpsItem SMS : CreateOpsMetadata SMS : CreatePatchBaseline SMS : CreateResourceDataSync SMS : DeleteActivation SMS : DeleteAssociation SMS : DeleteDocument SMS : DeleteInventory SMS : DeleteMaintenanceWindow SMS : DeleteOpsItem SMS : DeleteOpsMetadata SMS : DeleteParameter SMS : DeleteParameters SMS : DeletePatchBaseline SMS : DeleteResourceDataSync SMS : DeleteResourcePolicy SMS : DeregisterManagedInstance SMS : DeregisterPatchBaselineForPatchGroup SMS : DeregisterTargetFromMaintenanceWindow SMS : DeregisterTaskFromMaintenanceWindow SMS : DescribeActivations SMS : DescribeAssociation SMS : DescribeAssociationExecutionTargets SMS : DescribeAssociationExecutions SMS : DescribeAutomationExecutions SMS : DescribeAutomationStepExecutions SMS : DescribeAvailablePatches SMS : DescribeDocument SMS : DescribeDocumentParameters SMS : DescribeDocumentPermission SMS : DescribeEffectiveInstanceAssociations SMS : DescribeEffectivePatchesForPatchBaseline SMS : DescribeInstanceAssociationsStatus SMS : DescribeInstanceInformation SMS : DescribeInstancePatchStates SMS : DescribeInstancePatchStatesForPatchGroup SMS : DescribeInstancePatches SMS : DescribeInstanceProperties SMS : DescribeInventoryDeletions SMS : DescribeMaintenanceWindowExecutionTaskInvocations SMS : DescribeMaintenanceWindowExecutionTasks SMS : DescribeMaintenanceWindowExecutions SMS : DescribeMaintenanceWindowSchedule SMS : DescribeMaintenanceWindowTargets SMS : DescribeMaintenanceWindowTasks SMS : DescribeMaintenanceWindows SMS : DescribeMaintenanceWindowsForTarget SMS : DescribeOpsItems SMS : DescribeParameters SMS : DescribePatchBaselines SMS : DescribePatchGroupState SMS : DescribePatchGroups SMS : DescribePatchProperties SMS : DescribeSessions SMS : DisassociateOpsItemRelatedItem SMS : GetAccessToken SMS : GetAutomationExecution SMS : GetCalendarState SMS : GetCommandInvocation SMS : GetConnectionStatus SMS : GetDefaultPatchBaseline SMS : GetDeployablePatchSnapshotForInstance SMS : GetDocument SMS : GetExecutionPreview SMS : GetInventory SMS : GetInventorySchema SMS : GetMaintenanceWindow SMS : GetMaintenanceWindowExecution SMS : GetMaintenanceWindowExecutionTask SMS : GetMaintenanceWindowExecutionTaskInvocation SMS : GetMaintenanceWindowTask SMS : GetOpsItem SMS : GetOpsMetadata SMS : GetOpsSummary SMS : GetParameter SMS : GetParameterHistory SMS : GetParameters SMS : GetParametersByPath SMS : GetPatchBaseline SMS : GetPatchBaselineForPatchGroup SMS : GetResourcePolicies SMS : GetServiceSetting SMS : LabelParameterVersion SMS : ListAssociationVersions SMS : ListAssociations SMS : ListCommandInvocations SMS : ListCommands SMS : ListComplianceItems SMS : ListComplianceSummaries SMS : ListDocumentMetadataHistory SMS : ListDocumentVersions SMS : ListDocuments SMS : ListInstanceAssociations SMS : ListInventoryEntries SMS : ListNodes SMS : ListNodesSummary SMS : ListOpsItemEvents SMS : ListOpsItemRelatedItems SMS : ListOpsMetadata SMS : ListResourceComplianceSummaries SMS : ListResourceDataSync SMS : ModifyDocumentPermission SMS : PutComplianceItems SMS : PutInventory SMS : PutParameter SMS : PutResourcePolicy SMS : RegisterDefaultPatchBaseline SMS : RegisterManagedInstance SMS : RegisterPatchBaselineForPatchGroup SMS : RegisterTargetWithMaintenanceWindow SMS : RegisterTaskWithMaintenanceWindow SMS : ResetServiceSetting SMS : ResumeSession SMS : SendAutomationSignal SMS : SendCommand SMS : StartAssociationsOnce SMS : StartAutomationExecution SMS : StartChangeRequestExecution SMS : StartSession SMS : StopAutomationExecution SMS : TerminateSession SMS : UnlabelParameterVersion SMS : UpdateAssociation SMS : UpdateAssociationStatus SMS : UpdateDocument SMS : UpdateDocumentDefaultVersion SMS : UpdateDocumentMetadata SMS : UpdateInstanceInformation SMS : UpdateMaintenanceWindow SMS : UpdateMaintenanceWindowTarget SMS : UpdateMaintenanceWindowTask SMS : UpdateManagedInstanceRole SMS : UpdateOpsItem SMS : UpdateOpsMetadata SMS : UpdatePatchBaseline SMS : UpdateResourceDataSync SMS : UpdateServiceSetting  | 
| ssm-incidents |  Incidents SMS : BatchGetIncidentFindings Incidents SMS : CreateReplicationSet Incidents SMS : CreateResponsePlan Incidents SMS : CreateTimelineEvent Incidents SMS : DeleteIncidentRecord Incidents SMS : DeleteReplicationSet Incidents SMS : DeleteResourcePolicy Incidents SMS : DeleteResponsePlan Incidents SMS : DeleteTimelineEvent Incidents SMS : GetIncidentRecord Incidents SMS : GetReplicationSet Incidents SMS : GetResourcePolicies Incidents SMS : GetResponsePlan Incidents SMS : GetTimelineEvent Incidents SMS : ListIncidentFindings Incidents SMS : ListIncidentRecords Incidents SMS : ListRelatedItems Incidents SMS : ListReplicationSets Incidents SMS : ListResponsePlans Incidents SMS : ListTimelineEvents Incidents SMS : PutResourcePolicy Incidents SMS : StartIncident Incidents SMS : UpdateDeletionProtection Incidents SMS : UpdateIncidentRecord Incidents SMS : UpdateRelatedItems Incidents SMS : UpdateReplicationSet Incidents SMS : UpdateResponsePlan Incidents SMS : UpdateTimelineEvent  | 
| ssm-sap |  SSM-SAP : BackupDatabase SSM-SAP : DeleteResourcePermission SSM-SAP : DeregisterApplication SSM-SAP : GetApplication SSM-SAP : GetComponent SSM-SAP : GetConfigurationCheckOperation SSM-SAP : GetDatabase SSM-SAP : GetOperation SSM-SAP : GetResourcePermission SSM-SAP : ListApplications SSM-SAP : ListComponents SSM-SAP : ListConfigurationCheckDefinitions SSM-SAP : ListConfigurationCheckOperations SSM-SAP : ListDatabases SSM-SAP : ListOperationEvents SSM-SAP : ListOperations SSM-SAP : ListSubCheckResults SSM-SAP : ListSubCheckRuleResults SSM-SAP : PutResourcePermission SSM-SAP : RegisterApplication SSM-SAP : RestoreDatabase SSM-SAP : StartApplication SSM-SAP : StartApplicationRefresh SSM-SAP : StartConfigurationChecks SSM-SAP : StopApplication SSM-SAP : UpdateApplicationSettings SSM-SAP HANABackup : Paramètres de mise à jour  | 
| states |  états : CreateActivity états : CreateStateMachine états : CreateStateMachineAlias états : DeleteActivity états : DeleteStateMachine états : DeleteStateMachineAlias états : DeleteStateMachineVersion états : DescribeActivity états : DescribeExecution états : DescribeMapRun états : DescribeStateMachine états : DescribeStateMachineAlias états : DescribeStateMachineForExecution états : GetExecutionHistory états : ListActivities états : ListExecutions états : ListMapRuns états : ListStateMachineAliases états : ListStateMachineVersions états : ListStateMachines états : SendTaskFailure états : SendTaskHeartbeat états : SendTaskSuccess états : StartExecution états : StopExecution états : UpdateMapRun états : UpdateStateMachine états : UpdateStateMachineAlias états : ValidateStateMachineDefinition  | 
| sts |  sets : AssumeRole ensembles : AssumeRoleWith SAML sets : AssumeRoleWithWebIdentity sets : DecodeAuthorizationMessage sets : GetAccessKeyInfo sets : GetCallerIdentity sets : GetFederationToken sets : GetSessionToken sets : GetWebIdentityToken  | 
| swf |  swf : DeleteActivityType swf : DeleteWorkflowType swf : DeprecateActivityType swf : DeprecateDomain swf : DeprecateWorkflowType swf : DescribeActivityType swf : DescribeDomain swf : DescribeWorkflowType swf : ListActivityTypes swf : ListDomains swf : ListWorkflowTypes swf : RegisterActivityType swf : RegisterDomain swf : RegisterWorkflowType swf : UndeprecateActivityType swf : UndeprecateDomain swf : UndeprecateWorkflowType  | 
| synthetics |  synthétiques : AssociateResource synthétiques : CreateCanary synthétiques : CreateGroup synthétiques : DeleteCanary synthétiques : DeleteGroup synthétiques : DescribeCanaries synthétiques : DescribeCanariesLastRun synthétiques : DescribeRuntimeVersions synthétiques : DisassociateResource synthétiques : GetCanary synthétiques : GetCanaryRuns synthétiques : GetGroup synthétiques : ListAssociatedGroups synthétiques : ListGroupResources synthétiques : ListGroups synthétiques : StartCanary synthétiques : StartCanaryDryRun synthétiques : StopCanary synthétiques : UpdateCanary  | 
| balise |  étiquette : DescribeReportCreation étiquette : GetComplianceSummary étiquette : GetResources étiquette : StartReportCreation  | 
| textract |  extrait : AnalyzeDocument extrait : AnalyzeExpense textract:AnalyzeID extrait : CreateAdapter extrait : CreateAdapterVersion extrait : DeleteAdapter extrait : DeleteAdapterVersion extrait : DetectDocumentText extrait : GetAdapter extrait : GetAdapterVersion extrait : GetDocumentAnalysis extrait : GetDocumentTextDetection extrait : GetExpenseAnalysis extrait : GetLendingAnalysis extrait : GetLendingAnalysisSummary extrait : ListAdapterVersions extrait : ListAdapters extrait : StartDocumentAnalysis extrait : StartDocumentTextDetection extrait : StartExpenseAnalysis extrait : StartLendingAnalysis extrait : UpdateAdapter  | 
| timestream |  diffusion temporelle : CancelQuery diffusion temporelle : CreateDatabase diffusion temporelle : CreateScheduledQuery diffusion temporelle : CreateTable diffusion temporelle : DeleteDatabase diffusion temporelle : DeleteScheduledQuery diffusion temporelle : DeleteTable diffusion temporelle : DescribeAccountSettings diffusion temporelle : DescribeDatabase diffusion temporelle : DescribeScheduledQuery diffusion temporelle : DescribeTable diffusion temporelle : ExecuteScheduledQuery diffusion temporelle : ListBatchLoadTasks diffusion temporelle : ListDatabases diffusion temporelle : ListScheduledQueries diffusion temporelle : ListTables diffusion temporelle : PrepareQuery diffusion temporelle : UpdateAccountSettings diffusion temporelle : UpdateDatabase diffusion temporelle : UpdateScheduledQuery diffusion temporelle : UpdateTable  | 
| tnb |  tnb : CancelSolNetworkOperation tnb : CreateSolFunctionPackage tnb : CreateSolNetworkInstance tnb : CreateSolNetworkPackage tnb : DeleteSolFunctionPackage tnb : DeleteSolNetworkInstance tnb : DeleteSolNetworkPackage tnb : GetSolFunctionInstance tnb : GetSolFunctionPackage tnb : GetSolFunctionPackageContent tnb : GetSolFunctionPackageDescriptor tnb : GetSolNetworkInstance tnb : GetSolNetworkOperation tnb : GetSolNetworkPackage tnb : GetSolNetworkPackageContent tnb : GetSolNetworkPackageDescriptor tnb : InstantiateSolNetworkInstance tnb : ListSolFunctionInstances tnb : ListSolFunctionPackages tnb : ListSolNetworkInstances tnb : ListSolNetworkOperations tnb : ListSolNetworkPackages tnb : PutSolFunctionPackageContent tnb : PutSolNetworkPackageContent tnb : TerminateSolNetworkInstance tnb : UpdateSolFunctionPackage tnb : UpdateSolNetworkInstance tnb : UpdateSolNetworkPackage tnb : ValidateSolFunctionPackageContent tnb : ValidateSolNetworkPackageContent  | 
| transcribe |  transcrire : CreateCallAnalyticsCategory transcrire : CreateLanguageModel transcrire : CreateMedicalVocabulary transcrire : CreateVocabulary transcrire : CreateVocabularyFilter transcrire : DeleteCallAnalyticsCategory transcrire : DeleteCallAnalyticsJob transcrire : DeleteLanguageModel transcrire : DeleteMedicalScribeJob transcrire : DeleteMedicalTranscriptionJob transcrire : DeleteMedicalVocabulary transcrire : DeleteTranscriptionJob transcrire : DeleteVocabulary transcrire : DeleteVocabularyFilter transcrire : DescribeLanguageModel transcrire : GetCallAnalyticsCategory transcrire : GetCallAnalyticsJob transcrire : GetMedicalScribeJob transcrire : GetMedicalTranscriptionJob transcrire : GetMedicalVocabulary transcrire : GetTranscriptionJob transcrire : GetVocabulary transcrire : GetVocabularyFilter transcrire : ListCallAnalyticsCategories transcrire : ListCallAnalyticsJobs transcrire : ListLanguageModels transcrire : ListMedicalScribeJobs transcrire : ListMedicalTranscriptionJobs transcrire : ListMedicalVocabularies transcrire : ListTranscriptionJobs transcrire : ListVocabularies transcrire : ListVocabularyFilters transcrire : StartCallAnalyticsJob transcrire : StartCallAnalyticsStreamTranscription transcrire : StartCallAnalyticsStreamTranscriptionWebSocket transcrire : StartMedicalScribeJob transcrire : StartMedicalStreamTranscription transcrire : StartMedicalStreamTranscriptionWebSocket transcrire : StartMedicalTranscriptionJob transcrire : StartStreamTranscription transcrire : StartStreamTranscriptionWebSocket transcrire : StartTranscriptionJob transcrire : UpdateCallAnalyticsCategory transcrire : UpdateMedicalVocabulary transcrire : UpdateVocabulary transcrire : UpdateVocabularyFilter  | 
| transfert |  transfert : CreateAccess transfert : CreateAgreement transfert : CreateConnector transfert : CreateProfile transfert : CreateServer transfert : CreateUser transfert : CreateWebApp transfert : CreateWorkflow transfert : DeleteAccess transfert : DeleteAgreement transfert : DeleteCertificate transfert : DeleteConnector transfert : DeleteHostKey transfert : DeleteProfile transfert : DeleteServer transfert : DeleteSshPublicKey transfert : DeleteUser transfert : DeleteWebApp transfert : DeleteWebAppCustomization transfert : DeleteWorkflow transfert : DescribeAccess transfert : DescribeAgreement transfert : DescribeCertificate transfert : DescribeConnector transfert : DescribeExecution transfert : DescribeHostKey transfert : DescribeProfile transfert : DescribeSecurityPolicy transfert : DescribeServer transfert : DescribeUser transfert : DescribeWebApp transfert : DescribeWebAppCustomization transfert : DescribeWorkflow transfert : ImportCertificate transfert : ImportHostKey transfert : ImportSshPublicKey transfert : ListAccesses transfert : ListCertificates transfert : ListConnectors transfert : ListExecutions transfert : ListFileTransferResults transfert : ListHostKeys transfert : ListProfiles transfert : ListSecurityPolicies transfert : ListServers transfert : ListUsers transfert : ListWebApps transfert : ListWorkflows transfert : SendWorkflowStepState transfert : StartDirectoryListing transfert : StartFileTransfer transfert : StartRemoteDelete transfert : StartRemoteMove transfert : StartServer transfert : StopServer transfert : TestConnection transfert : TestIdentityProvider transfert : UpdateAccess transfert : UpdateAgreement transfert : UpdateCertificate transfert : UpdateConnector transfert : UpdateHostKey transfert : UpdateProfile transfert : UpdateServer transfert : UpdateUser transfert : UpdateWebApp transfert : UpdateWebAppCustomization  | 
| translate |  traduire : CreateParallelData traduire : DeleteParallelData traduire : DeleteTerminology traduire : DescribeTextTranslationJob traduire : GetParallelData traduire : GetTerminology traduire : ImportTerminology traduire : ListLanguages traduire : ListParallelData traduire : ListTerminologies traduire : ListTextTranslationJobs traduire : StartTextTranslationJob traduire : StopTextTranslationJob traduire : TranslateDocument traduire : TranslateText traduire : UpdateParallelData  | 
| voiceid |  identifiant vocal : AssociateFraudster identifiant vocal : CreateDomain identifiant vocal : CreateWatchlist identifiant vocal : DeleteDomain identifiant vocal : DeleteFraudster identifiant vocal : DeleteSpeaker identifiant vocal : DeleteWatchlist identifiant vocal : DescribeDomain identifiant vocal : DescribeFraudster identifiant vocal : DescribeFraudsterRegistrationJob identifiant vocal : DescribeSpeaker identifiant vocal : DescribeSpeakerEnrollmentJob identifiant vocal : DescribeWatchlist identifiant vocal : DisassociateFraudster identifiant vocal : EvaluateSession identifiant vocal : ListDomains identifiant vocal : ListFraudsterRegistrationJobs identifiant vocal : ListFraudsters identifiant vocal : ListSpeakerEnrollmentJobs identifiant vocal : ListSpeakers identifiant vocal : ListWatchlists identifiant vocal : OptOutSpeaker identifiant vocal : StartFraudsterRegistrationJob identifiant vocal : StartSpeakerEnrollmentJob identifiant vocal : UpdateDomain identifiant vocal : UpdateWatchlist  | 
| vpc-lattice |  réseau VPC : CreateAccessLogSubscription réseau VPC : CreateListener réseau VPC : CreateResourceConfiguration réseau VPC : CreateResourceGateway réseau VPC : CreateRule réseau VPC : CreateService réseau VPC : CreateServiceNetwork réseau VPC : CreateServiceNetworkResourceAssociation réseau VPC : CreateServiceNetworkServiceAssociation réseau VPC : CreateServiceNetworkVpcAssociation réseau VPC : CreateTargetGroup réseau VPC : DeleteAccessLogSubscription réseau VPC : DeleteAuthPolicy réseau VPC : DeleteDomainVerification réseau VPC : DeleteListener réseau VPC : DeleteResourceConfiguration réseau VPC : DeleteResourceEndpointAssociation réseau VPC : DeleteResourceGateway réseau VPC : DeleteResourcePolicy réseau VPC : DeleteRule réseau VPC : DeleteService réseau VPC : DeleteServiceNetwork réseau VPC : DeleteServiceNetworkResourceAssociation réseau VPC : DeleteServiceNetworkServiceAssociation réseau VPC : DeleteServiceNetworkVpcAssociation réseau VPC : DeleteTargetGroup réseau VPC : DeregisterTargets réseau VPC : GetAccessLogSubscription réseau VPC : GetAuthPolicy réseau VPC : GetDomainVerification réseau VPC : GetListener réseau VPC : GetResourceConfiguration réseau VPC : GetResourceGateway réseau VPC : GetResourcePolicy réseau VPC : GetRule réseau VPC : GetService réseau VPC : GetServiceNetwork réseau VPC : GetServiceNetworkResourceAssociation réseau VPC : GetServiceNetworkServiceAssociation réseau VPC : GetServiceNetworkVpcAssociation réseau VPC : GetTargetGroup réseau VPC : ListAccessLogSubscriptions réseau VPC : ListDomainVerifications réseau VPC : ListListeners réseau VPC : ListResourceConfigurations réseau VPC : ListResourceEndpointAssociations réseau VPC : ListResourceGateways réseau VPC : ListRules réseau VPC : ListServiceNetworkResourceAssociations réseau VPC : ListServiceNetworkServiceAssociations réseau VPC : ListServiceNetworkVpcAssociations réseau VPC : ListServiceNetworkVpcEndpointAssociations réseau VPC : ListServiceNetworks réseau VPC : ListServices réseau VPC : ListTargetGroups réseau VPC : ListTargets réseau VPC : PutAuthPolicy réseau VPC : PutResourcePolicy réseau VPC : RegisterTargets réseau VPC : StartDomainVerification réseau VPC : UpdateAccessLogSubscription réseau VPC : UpdateListener réseau VPC : UpdateResourceConfiguration réseau VPC : UpdateResourceGateway réseau VPC : UpdateRule réseau VPC : UpdateService réseau VPC : UpdateServiceNetwork réseau VPC : UpdateServiceNetworkVpcAssociation réseau VPC : UpdateTargetGroup  | 
| wafv2 |  wafv2 : ACL AssociateWeb wafv2 : CheckCapacity WAF v2 : créer APIKey WAF v2 : créer IPSet wafv2 : CreateRegexPatternSet wafv2 : CreateRuleGroup wafv2 : ACL CreateWeb WAF v2 : Supprimer APIKey wafv2 : DeleteFirewallManagerRuleGroups WAF v2 : Supprimer IPSet wafv2 : DeleteLoggingConfiguration wafv2 : DeletePermissionPolicy wafv2 : DeleteRegexPatternSet wafv2 : DeleteRuleGroup wafv2 : ACL DeleteWeb wafv2 : DescribeAllManagedProducts wafv2 : DescribeManagedProductsByVendor wafv2 : DescribeManagedRuleGroup wafv2 : ACL DisassociateWeb wafv2 : GenerateMobileSdkReleaseUrl wafv2 : GetDecrypted APIKey WAF v2 : Obtenir IPSet wafv2 : GetLoggingConfiguration wafv2 : GetManagedRuleSet wafv2 : GetMobileSdkRelease wafv2 : GetRateBasedStatementManagedKeys wafv2 : GetRegexPatternSet wafv2 : GetRuleGroup wafv2 : GetSampledRequests wafv2 : Ressource GetWeb ACLFor WAF v2 : liste APIKeys wafv2 : ListAvailableManagedRuleGroupVersions wafv2 : ListAvailableManagedRuleGroups WAF v2 : liste IPSets wafv2 : ListLoggingConfigurations wafv2 : ListManagedRuleSets wafv2 : ListMobileSdkReleases wafv2 : ListRegexPatternSets wafv2 : ACL ListResourcesForWeb wafv2 : ListRuleGroups wafv2 : ListWeb ACLs wafv2 : PutLoggingConfiguration wafv2 : PutManagedRuleSetVersions WAF v2 : mise à jour IPSet wafv2 : UpdateManagedRuleSetVersionExpiryDate wafv2 : UpdateRegexPatternSet wafv2 : UpdateRuleGroup wafv2 : ACL UpdateWeb  | 
| wellarchitected |  bien architecturé : AssociateLenses bien architecturé : AssociateProfiles bien architecturé : CreateLensShare bien architecturé : CreateLensVersion bien architecturé : CreateMilestone bien architecturé : CreateProfile bien architecturé : CreateProfileShare bien architecturé : CreateReviewTemplate bien architecturé : CreateWorkload bien architecturé : CreateWorkloadShare bien architecturé : DeleteLens bien architecturé : DeleteLensShare bien architecturé : DeleteProfile bien architecturé : DeleteProfileShare bien architecturé : DeleteReviewTemplate bien architecturé : DeleteTemplateShare bien architecturé : DeleteWorkload bien architecturé : DeleteWorkloadShare bien architecturé : DisassociateLenses bien architecturé : DisassociateProfiles bien architecturé : ExportLens bien architecturé : GetAnswer bien architecturé : GetConsolidatedReport bien architecturé : GetGlobalSettings bien architecturé : GetLens bien architecturé : GetLensReview bien architecturé : GetLensReviewReport bien architecturé : GetLensVersionDifference bien architecturé : GetMilestone bien architecturé : GetProfile bien architecturé : GetProfileTemplate bien architecturé : GetReviewTemplate bien architecturé : GetReviewTemplateAnswer bien architecturé : GetReviewTemplateLensReview bien architecturé : GetWorkload bien architecturé : ImportLens bien architecturé : ListAnswers bien architecturé : ListCheckDetails bien architecturé : ListCheckSummaries bien architecturé : ListLensReviewImprovements bien architecturé : ListLensReviews bien architecturé : ListLensShares bien architecturé : ListLenses bien architecturé : ListMilestones bien architecturé : ListNotifications bien architecturé : ListProfileNotifications bien architecturé : ListProfileShares bien architecturé : ListProfiles bien architecturé : ListReviewTemplateAnswers bien architecturé : ListReviewTemplates bien architecturé : ListShareInvitations bien architecturé : ListTemplateShares bien architecturé : ListWorkloadShares bien architecturé : ListWorkloads bien architecturé : UpdateAnswer bien architecturé : UpdateGlobalSettings bien architecturé : UpdateIntegration bien architecturé : UpdateLensReview bien architecturé : UpdateProfile bien architecturé : UpdateReviewTemplate bien architecturé : UpdateReviewTemplateLensReview bien architecturé : UpdateShareInvitation bien architecturé : UpdateWorkload bien architecturé : UpdateWorkloadShare bien architecturé : UpgradeLensReview bien architecturé : UpgradeProfileVersion bien architecturé : UpgradeReviewTemplateLensReview  | 
| wisdom |  sagesse : CreateAssistant sagesse : CreateAssistantAssociation sagesse : CreateContent sagesse : CreateKnowledgeBase sagesse : CreateQuickResponse sagesse : CreateSession sagesse : DeleteAssistant sagesse : DeleteAssistantAssociation sagesse : DeleteContent sagesse : DeleteImportJob sagesse : DeleteKnowledgeBase sagesse : DeleteQuickResponse sagesse : GetAssistant sagesse : GetAssistantAssociation sagesse : GetContent sagesse : GetContentAssociation sagesse : GetContentSummary sagesse : GetImportJob sagesse : GetKnowledgeBase sagesse : GetRecommendations sagesse : GetSession sagesse : ListAssistantAssociations sagesse : ListAssistants sagesse : ListContentAssociations sagesse : ListContents sagesse : ListImportJobs sagesse : ListKnowledgeBases sagesse : ListQuickResponses sagesse : NotifyRecommendationsReceived sagesse : QueryAssistant sagesse : RemoveKnowledgeBaseTemplateUri sagesse : SearchContent sagesse : SearchQuickResponses sagesse : SearchSessions sagesse : StartContentUpload sagesse : StartImportJob sagesse : UpdateContent sagesse : UpdateKnowledgeBaseTemplateUri sagesse : UpdateQuickResponse sagesse : UpdateSession  | 
| worklink |  lien de travail : AssociateDomain lien de travail : AssociateWebsiteAuthorizationProvider lien de travail : AssociateWebsiteCertificateAuthority lien de travail : CreateFleet lien de travail : DeleteFleet lien de travail : DescribeAuditStreamConfiguration lien de travail : DescribeCompanyNetworkConfiguration lien de travail : DescribeDevice lien de travail : DescribeDevicePolicyConfiguration lien de travail : DescribeDomain lien de travail : DescribeFleetMetadata lien de travail : DescribeIdentityProviderConfiguration lien de travail : DescribeWebsiteCertificateAuthority lien de travail : DisassociateDomain lien de travail : DisassociateWebsiteAuthorizationProvider lien de travail : DisassociateWebsiteCertificateAuthority lien de travail : ListDevices lien de travail : ListDomains lien de travail : ListFleets lien de travail : ListWebsiteAuthorizationProviders lien de travail : ListWebsiteCertificateAuthorities lien de travail : RestoreDomainAccess lien de travail : RevokeDomainAccess lien de travail : SignOutUser lien de travail : UpdateAuditStreamConfiguration lien de travail : UpdateCompanyNetworkConfiguration lien de travail : UpdateDevicePolicyConfiguration lien de travail : UpdateDomainMetadata lien de travail : UpdateFleetMetadata lien de travail : UpdateIdentityProviderConfiguration  | 
| espaces de travail |  espaces de travail : AcceptAccountLinkInvitation espaces de travail : AssociateConnectionAlias espaces de travail : AssociateIpGroups espaces de travail : AssociateWorkspaceApplication espaces de travail : CopyWorkspaceImage espaces de travail : CreateAccountLinkInvitation espaces de travail : CreateConnectClientAddIn espaces de travail : CreateConnectionAlias espaces de travail : CreateIpGroup espaces de travail : CreateStandbyWorkspaces espaces de travail : CreateUpdatedWorkspaceImage espaces de travail : CreateWorkspaceBundle espaces de travail : CreateWorkspaceImage espaces de travail : CreateWorkspaces espaces de travail : CreateWorkspacesPool espaces de travail : DeleteAccountLinkInvitation espaces de travail : DeleteClientBranding espaces de travail : DeleteConnectClientAddIn espaces de travail : DeleteConnectionAlias espaces de travail : DeleteIpGroup espaces de travail : DeleteWorkspaceBundle espaces de travail : DeleteWorkspaceImage espaces de travail : DeployWorkspaceApplications espaces de travail : DeregisterWorkspaceDirectory espaces de travail : DescribeAccount espaces de travail : DescribeAccountModifications espaces de travail : DescribeApplicationAssociations espaces de travail : DescribeApplications espaces de travail : DescribeBundleAssociations espaces de travail : DescribeClientBranding espaces de travail : DescribeClientProperties espaces de travail : DescribeConnectClientAddIns espaces de travail : DescribeConnectionAliasPermissions espaces de travail : DescribeConnectionAliases espaces de travail : DescribeCustomWorkspaceImageImport espaces de travail : DescribeImageAssociations espaces de travail : DescribeIpGroups espaces de travail : DescribeWorkspaceAssociations espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeWorkspaceImagePermissions espaces de travail : DescribeWorkspaceSnapshots espaces de travail : DescribeWorkspaces espaces de travail : DescribeWorkspacesConnectionStatus espaces de travail : DescribeWorkspacesPoolSessions espaces de travail : DescribeWorkspacesPools espaces de travail : DisassociateConnectionAlias espaces de travail : DisassociateIpGroups espaces de travail : DisassociateWorkspaceApplication espaces de travail : GetAccountLink espaces de travail : ImportClientBranding espaces de travail : ImportWorkspaceImage espaces de travail : ListAccountLinks espaces de travail : ListAvailableManagementCidrRanges espaces de travail : MigrateWorkspace espaces de travail : ModifyAccount espaces de travail : ModifyCertificateBasedAuthProperties espaces de travail : ModifyClientProperties espaces de travail : ModifyEndpointEncryptionMode espaces de travail : ModifySamlProperties espaces de travail : ModifySelfservicePermissions espaces de travail : ModifyStreamingProperties espaces de travail : ModifyWorkspaceAccessProperties espaces de travail : ModifyWorkspaceCreationProperties espaces de travail : ModifyWorkspaceProperties espaces de travail : ModifyWorkspaceState espaces de travail : RebootWorkspaces espaces de travail : RebuildWorkspaces espaces de travail : RegisterWorkspaceDirectory espaces de travail : RejectAccountLinkInvitation espaces de travail : RestoreWorkspace espaces de travail : StartWorkspaces espaces de travail : StartWorkspacesPool espaces de travail : StopWorkspaces espaces de travail : StopWorkspacesPool espaces de travail : TerminateWorkspaces espaces de travail : TerminateWorkspacesPool espaces de travail : TerminateWorkspacesPoolSession espaces de travail : UpdateConnectClientAddIn espaces de travail : UpdateConnectionAliasPermission espaces de travail : UpdateWorkspaceBundle espaces de travail : UpdateWorkspaceImagePermission espaces de travail : UpdateWorkspacesPool  | 
| xray |  radiographie : CreateGroup radiographie : CreateSamplingRule radiographie : DeleteGroup radiographie : DeleteResourcePolicy radiographie : DeleteSamplingRule radiographie : GetEncryptionConfig radiographie : GetGroup radiographie : GetGroups radiographie : GetInsight radiographie : GetInsightEvents radiographie : GetInsightImpactGraph radiographie : GetInsightSummaries radiographie : GetSamplingRules radiographie : ListResourcePolicies radiographie : PutEncryptionConfig radiographie : PutResourcePolicy radiographie : UpdateGroup radiographie : UpdateSamplingRule  | 

# Récapitulatifs de la politique
<a name="access_policies_understand"></a>

La console IAM comprend des tables de *récapitulatif de la politique* qui présentent le niveau d'accès, les ressources et les conditions autorisées ou rejetées pour chaque service dans une politique. Les politiques sont résumées dans trois tables : [récapitulatif de la politique](access_policies_understand-policy-summary.md), [ récapitulatif du service](access_policies_understand-service-summary.md) et [récapitulatif de l'action](access_policies_understand-action-summary.md). La table de *récapitulatif de la politique* comprend une liste de services. Choisissez un service pour voir le *récapitulatif du service*. Cette table récapitulative comprend une liste des actions et autorisations associées pour le service choisi. Vous pouvez choisir une action dans cette table pour afficher le *récapitulatif de l'action*. Cette table comprend une liste des ressources et conditions pour l'action choisie. 

![\[Image d'un diagramme de récapitulatifs de politiques illustrant les trois tables et la relation entre elles\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policy_summaries-diagram.png)


Vous pouvez afficher les récapitulatifs de politiques sur la page **Utilisateurs** ou **Rôles** pour toutes les politiques (gérées et en ligne) attachées à cet utilisateur. Affichez les récapitulatifs sur la page **Politiques** pour toutes les politiques gérées. Les politiques gérées incluent les politiques AWS gérées, les politiques AWS gérées des fonctions de travail et les politiques gérées par le client. Vous pouvez consulter les récapitulatifs de ces politiques sur la page **Politiques** qu'elles soient attachées à un utilisateur ou à une autre identité IAM.

Vous pouvez utiliser les informations des récapitulatifs de la politique pour comprendre les autorisations accordées ou refusées par votre politique. Les récapitulatifs de la politique peuvent vous aider à [résoudre les problèmes](troubleshoot_policies.md) des politiques qui ne fournissent pas les autorisations que vous attendiez.

**Topics**
+ [Récapitulatif de la politique (liste des services)](access_policies_understand-policy-summary.md)
+ [Niveaux d'accès dans les récapitulatifs de politique](access_policies_understand-policy-summary-access-level-summaries.md)
+ [Récapitulatif du service (liste des actions)](access_policies_understand-service-summary.md)
+ [Récapitulatif de l'action (liste des ressources)](access_policies_understand-action-summary.md)
+ [Exemples de récapitulatifs de la politique](access_policies_policy-summary-examples.md)

# Récapitulatif de la politique (liste des services)
<a name="access_policies_understand-policy-summary"></a>

Les politiques sont résumées dans trois tables : récapitulatif de la politique, [récapitulatif du service](access_policies_understand-service-summary.md) et [récapitulatif de l'action](access_policies_understand-action-summary.md). La table *récapitulative de la politique* comprend une liste des services et des résumés des autorisations définies par la politique choisie. 

![\[Image d'un diagramme de récapitulatifs de politiques illustrant les trois tables et la relation entre elles\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)


La table récapitulative de la politique est regroupée en une ou plusieurs sections **Uncategorized services (Services non catégorisés)**, **Explicit deny (Refus explicite)** et **Allow (Autoriser)**. Si la politique comprend un service qu'IAM ne reconnaît pas, le service est inclus dans la section **Uncategorized services** (Services non catégorisés) de la table. Si IAM reconnaît le service, celui-ci figure dans la section **Explicit deny** (Refus explicite) ou **Allow** (Autoriser) de la table, selon l'effet de la politique (`Deny` ou `Allow`).

## Présentation des éléments d'un récapitulatif de service
<a name="understanding-elements-policy-summary"></a>

Dans l'exemple suivant de page détaillée d'une politique, la **SummaryAllElements**politique est une politique gérée (politique gérée par le client) attachée directement à l'utilisateur. Cette politique est développée pour afficher son récapitulatif. 

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)


Dans l'image précédente, le résumé de la politique est visible sur la page **Politiques** :

1. L'onglet **Autorisations** comprend les autorisations définies dans la politique.

1. Si la politique n'accorde pas les autorisations pour toutes les actions, ressources et conditions définies dans la politique, un avertissement ou une bannière d'erreur s'affiche dans la partie supérieure de la page. Puis le récapitulatif de politique inclut des détails relatifs au problème. Pour savoir comment les récapitulatifs de politique vous aident à comprendre les autorisations que votre politique vous accorde et à résoudre les problèmes les concernant, consultez [Ma politique n'accorde pas les autorisations escomptées](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Utilisez les boutons **Résumé** et **JSON** pour basculer entre le résumé de la politique et le document de politique JSON.

1.  Utilisez la zone de **Recherche** pour réduire la liste des services et trouver un service spécifique.

1. La vue agrandie affiche des détails supplémentaires sur la **SummaryAllElements**politique.

L'image du tableau récapitulatif des politiques ci-dessous montre la **SummaryAllElements**stratégie étendue sur la page des détails de la stratégie.

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)


Dans l'image précédente, le résumé de la politique est visible sur la page **Politiques** :

1. En ce qui concerne les services qu'IAM reconnaît, il dispose les services selon si la politique autorise ou refuse explicitement l'utilisation du service. Dans cet exemple, la politique inclut une `Deny` déclaration pour le service Amazon S3 et `Allow` des instructions pour les services de facturation et Amazon EC2. CodeDeploy

1. **Service** : cette colonne répertorie les services définis dans la politique et présente des détails pour chaque service. Chaque nom de service dans la table récapitulative de la politique est un lien vers la table de *récapitulatif du service*, présenté dans la section [Récapitulatif du service (liste des actions)](access_policies_understand-service-summary.md). Dans cet exemple, les autorisations sont définies pour les services Amazon S3 CodeDeploy, Billing et Amazon EC2.

1. **Niveau d'accès** : cette colonne indique si les actions dans chaque niveau d'accès (`List`, `Read`, `Write`, `Permission Management` et `Tagging`) ont des autorisations `Full` ou `Limited` définies dans la politique. Pour plus d'informations et pour consulter des exemples de récapitulatif de niveau d'accès, consultez [Niveaux d'accès dans les récapitulatifs de politique](access_policies_understand-policy-summary-access-level-summaries.md).
   + **Full access** (Accès complet) : cette entrée indique que le service a accès à toutes les actions dans les quatre niveaux d'accès disponibles pour le service.
   + <a name="full-vs-limited-access-summary"></a>Si l'entrée ne comprend pas l'**Accès complet**, le service a accès à certains actions, mais pas à l'ensemble des actions, pour le service. L'accès est alors défini en suivant les descriptions pour chacune des classifications du niveau d'accès (`List`, `Read`, `Write`, `Permission Management` et `Tagging`) :

     **Complet** : La politique fournit un accès complet à toutes les actions contenues dans chaque classification de niveau d'accès répertoriée. Dans cet exemple, la politique permet l'accès à toutes les actions `Read` de la facturation.

     **Limité** : La politique fournit un accès à une ou plusieurs actions, mais pas à l'ensemble des actions contenues dans chaque classification de niveau d'accès répertoriée. Dans cet exemple, la politique permet l'accès à certaines des actions `Write` de la facturation.

1. **Resource** (Ressource) : cette colonne présente les ressources que la politique définit pour chaque service. 
   + **Multiple** (Plusieurs) : la politique comprend plusieurs ressources, mails pas leur totalité, dans le service. Dans cet exemple, l'accès est explicitement refusé à plusieurs ressources Amazon S3.
   + **Toutes les ressources** : la stratégie est définie pour toutes les ressources du service. Dans cet exemple, la politique autorise les actions répertoriées sur toutes les ressources de la facturation.
   + Resource text (Texte de ressource) : la politique contient une ressource dans le service. Dans cet exemple, les actions répertoriées ne sont autorisées que sur la `DeploymentGroupName` CodeDeploy ressource. En fonction des informations que le service fournit à IAM, il est possible que vous voyiez un ARN ou le type de ressource défini.
**Note**  
Cette colonne peut contenir une ressource provenant d'un service différent. Si l'instruction de politique qui inclut la ressource ne contient pas d'actions et de ressources provenant d'un même service, cela signifie que votre politique contient des ressources non appariées. IAM ne vous avertit pas que des ressources ne sont pas appariées lorsque vous créez une politique ou que vous affichez une politique dans le récapitulatif de la politique. Si cette colonne contient une ressource non appariée, recherchez d'éventuelles erreurs dans votre politique. Afin de mieux comprendre vos politiques, vous devez toujours les tester avec le [simulateur de politique](access_policies_testing-policies.md).

1. **Request condition** (Demander une condition) : cette colonne indique si les services ou actions associés aux ressources font l'objet de conditions.
   + **None** (Aucune) : la politique ne contient aucune condition pour le service. Dans cet exemple, aucun condition n'est appliquée aux actions refusées dans le service Amazon S3.
   + Condition text (Texte de condition) : la politique contient une condition pour le service. Dans cet exemple, les actions de Facturation énumérées sont autorisées uniquement si l'adresse IP de la source correspond à `203.0.113.0/24`.
   + **Multiple** (Plusieurs) : la politique contient plusieurs conditions pour le service. Pour afficher chacune des conditions multiples de la politique, choisissez **JSON** pour afficher le document de politique.

1. **Afficher les services restants** : activez ce bouton pour développer la table afin d'inclure les services non définis par la politique. Ces services sont *refusés implicitement* (ou refusés par défaut) dans cette politique. Cependant, une instruction dans une autre politique peut tout de même autoriser ou refuser explicitement l'utilisation du service. Le récapitulatif de la politique résume les autorisations d'une seule politique. Pour savoir comment le AWS service décide si une demande donnée doit être autorisée ou refusée, voir[Logique d'évaluation de politiques](reference_policies_evaluation-logic.md).

Lorsqu'une politique ou un élément dans la politique n'accorde pas d'autorisations, IAM fournit des avertissements et des informations supplémentaires dans le récapitulatif de politique. Le tableau récapitulatif de la politique suivant montre les services étendus **Afficher les services restants** sur la page des détails de la **SummaryAllElements**politique avec les avertissements possibles.

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)


Dans l'image précédente, vous pouvez voir tous les services incluant des actions, ressources ou conditions définies sans autorisation :

1. **Resource warnings** (Avertissements relatifs aux ressources) : pour les services qui ne fournissent pas d'autorisations pour toutes les actions ou ressources incluses, vous voyez l'un des avertissements suivants dans la colonne **Resource** (Ressource) de la table :
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Aucune ressource n'est définie.** – Cela signifie que le service a défini des actions, mais qu'aucune ressource prise en charge n'est incluse dans la politique.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Une ou plusieurs actions n'ont pas de ressource applicable.** – Cela signifie que le service a défini des actions, mais que certaines d'entre elles n'ont pas de ressource prise en charge.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Une ou plusieurs ressources n'ont pas d'action applicable.** – Cela signifie que le service a défini des ressources, mais que certaines d'entre elles n'ont pas d'action associée.

   Si un service comprend à la fois des actions qui n'ont pas de ressource applicable et des ressources qui ont une ressource applicable, alors seul l'avertissement **Une ou plusieurs ressources n'ont pas d'action applicable** est affiché. Ceci est dû au fait que lorsque vous affichez le récapitulatif de ce service, les ressources qui ne s'appliquent à aucune action ne s'affichent pas. Pour l'action `ListAllMyBuckets`, cette politique inclut le dernier avertissement, car l'action ne prend pas en charge les autorisations au niveau des ressources, ni la clé de condition `s3:x-amz-acl`. Si vous corrigez le problème de ressource ou celui de condition, le problème restant s'affiche dans un avertissement détaillé.

1. **Request condition warnings** (Avertissements relatifs aux demandes de condition) : pour les services qui ne fournissent pas d'autorisations pour toutes les conditions incluses, vous voyez l'un des avertissements suivants dans la colonne **Request condition** (Demander une condition) de la table :
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Une ou plusieurs actions n'ont pas de condition applicable.** – Cela signifie que le service a défini des actions, mais que certaines d'entre elles n'ont pas de condition prise en charge.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Une ou plusieurs conditions n'ont pas d'action applicable.** – Cela signifie que le service a défini des conditions, mais que certaines d'entre elles n'ont pas d'action associée.

1. **Multiple (Plusieurs) \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Une ou plusieurs actions n'ont pas de ressource applicable.** – L'instruction `Deny` pour Amazon S3 inclut plusieurs ressources. Elle inclut également plusieurs actions ; certaines actions prennent en charge les ressources et d'autres non. Pour afficher cette politique, consultez [Document de politique JSON **SummaryAllElements**](#policy-summary-example-json). Dans ce cas, la politique inclut toutes les actions d'Amazon S3, et seules les actions qui peuvent être effectuées sur un compartiment ou un objet dans un compartiment sont rejetées.

1. **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined** (Aucune ressource n'est définie) : le service a défini des actions, mais aucune ressource prise en charge n'est incluse dans la politique, et par conséquent, le service ne fournit aucune autorisation. Dans ce cas, la politique inclut des CodeCommit actions mais aucune CodeCommit ressource.

1. **DeploymentGroupName \$1 string like \$1 All, region \$1 string like \$1 us-west-2 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) \$1 Aucune ressource applicable n'est associée à une ou plusieurs actions.** – Le service a une action définie et au moins une autre action qui n'a pas de ressource de support.

1. **None \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Une ou plusieurs conditions n'ont pas d'action applicable.** – Le service a au moins une clé de condition qui n'a pas d'action de support.

## Document de politique JSON **SummaryAllElements**
<a name="policy-summary-example-json"></a>

La **SummaryAllElements**politique n'est pas destinée à être utilisée pour définir des autorisations dans votre compte. En fait, elle est incluse pour illustrer les erreurs et les avertissements que vous risquez de rencontrer lors de l'affichage d'un récapitulatif de politique.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}
```

------

# Affichage des récapitulatifs de politique
<a name="access_policies_view-policy-summary"></a>

Vous pouvez afficher le récapitulatif de politique pour des politiques attachées à un rôle ou à un utilisateur IAM. Pour les politiques gérées, vous pouvez afficher le récapitulatif des politiques sur la page **Politiques**. Si votre politique ne comprend pas de récapitulatif de la politique, consultez [Récapitulatif de politique manquant](troubleshoot_policies.md#missing-policy-summary) pour en comprendre la raison.

## Affichage des récapitulatifs de politique sur la page **Politiques**
<a name="viewing-policy-summaries-from-the-policies-page"></a>

Vous pouvez afficher le récapitulatif des politiques gérées sur la page **Politiques**.

**Pour afficher le récapitulatif de la stratégie sur la page **Stratégies****

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Dans la liste des stratégies, choisissez le nom de la stratégie à afficher.

1. Sur la page **Détails de la politique**, affichez l'onglet **Autorisations** pour consulter le résumé de la politique.

## Affichage du récapitulatif d’une politique attachée à un utilisateur
<a name="viewing-policy-summaries-for-policies-attached-to-users"></a>

Vous pouvez afficher le récapitulatif de politique pour toute politique attachée à un utilisateur IAM.

**Pour afficher le récapitulatif d'une politique attachée à un utilisateur**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Choisissez **Utilisateurs** dans le panneau de navigation.

1. Dans la liste des utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez afficher la politique.

1. Sur la page **Récapitulatif** de l'utilisateur, affichez l'onglet **Autorisations** pour afficher la liste des stratégies attachées à l'utilisateur directement ou via un groupe.

1. Dans le tableau des stratégies dédiées à l'utilisateur, développez la ligne de la stratégie à afficher.

## Affichage du récapitulatif d’une politique attachée à un rôle
<a name="viewing-policy-summaries-for-policies-attached-to-roles"></a>

Vous pouvez afficher le récapitulatif de politique pour toute politique attachée à un rôle.

**Pour afficher le récapitulatif d'une politique attachée à un rôle**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Dans la liste des rôles, choisissez le nom du rôle dont vous souhaitez afficher la politique.

1. Sur la page **Récapitulatif** du rôle, affichez l'onglet **Autorisations** pour afficher la liste des stratégies attachées au rôle.

1. Dans le tableau des stratégies dédiées au rôle, développez la ligne de la stratégie à afficher.

## Modification des politiques pour corriger les avertissements
<a name="edit-policy-summary"></a>

Lorsque vous consultez le récapitulatif d'une politique, vous pouvez détecter une faute de frappe ou remarquer que la politique ne fournit pas les autorisations que vous attendiez. Vous ne pouvez pas modifier le récapitulatif d'une politique directement. Toutefois, vous pouvez modifier une politique gérée par le client à l'aide de l'éditeur de politique visuel, qui détecte un grand nombre des mêmes erreurs et avertissements que les rapports de synthèse de politique. Vous pouvez ensuite consulter les modifications dans le résumé de politique pour confirmer que vous avez résolu tous les problèmes. Pour savoir comment modifier une politique en ligne, consulter [Modification de politiques IAM](access_policies_manage-edit.md). Vous ne pouvez pas modifier les politiques AWS gérées.

Vous pouvez modifier une politique pour votre récapitulatif de la politique en utilisant l’option **Visuel**.

**Pour modifier une politique pour votre résumé de la politique à l'aide de l'option **Visuel****

1. Ouvrez le récapitulatif de politique comme expliqué dans les procédures précédentes.

1. Choisissez **Modifier**.

   Si vous vous trouvez sur la page **Utilisateurs** et que vous choisissez de modifier une stratégie gérée par le client qui est attachée à ce dernier, vous êtes redirigé vers la page **Stratégies**. Vous ne pouvez modifier les stratégies gérées par le client que sur la page **Stratégies**.

1. Choisissez l'option **Visuel** pour afficher la représentation visuelle modifiable de votre politique. IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel et de vous permettre de trouver et de résoudre plus facilement tous les problèmes. Les avertissements et messages d'erreur sur la page peuvent vous aider à résoudre tous les problèmes liés à votre politique. Pour plus d'informations sur les politiques de restructuration IAM, voir [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Modifiez votre politique et choisissez **Suivant** pour que vos modifications s'affichent dans le résumé de la politique. Si un problème persiste, choisissez **Précédent** pour retourner à l'écran de modification.

1. Choisissez **Enregistrer les Modifications** pour enregistrer vos Modifications.

Vous pouvez modifier une politique pour votre récapitulatif de la politique en utilisant l’option **JSON**.

**Pour modifier une politique pour votre récapitulatif de politique à l’aide de l’option **JSON****

1. Ouvrez le récapitulatif de politique comme expliqué dans les procédures précédentes.

1. Vous pouvez utiliser les boutons **Résumé** et **JSON** pour comparer le résumé de la politique au document de politique JSON. Ces informations peuvent vous permettre de déterminer quelles lignes du document de politique vous souhaitez modifier.

1. Choisissez **Modifier**, puis l'option **JSON** pour modifier le document de politique JSON.
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'option éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

   Si vous vous trouvez sur la page **Utilisateurs** et que vous choisissez de modifier une stratégie gérée par le client qui est attachée à ce dernier, vous êtes redirigé vers la page **Stratégies**. Vous ne pouvez modifier les stratégies gérées par le client que sur la page **Stratégies**.

1. Modifiez votre politique. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](access_policies_policy-validator.md), puis choisissez **Suivant**. Si un problème persiste, choisissez **Précédent** pour retourner à l'écran de modification.

1. Choisissez **Enregistrer les Modifications** pour enregistrer vos Modifications.

# Niveaux d'accès dans les récapitulatifs de politique
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## AWS résumé des niveaux d'accès
<a name="access_policies_access-level-summaries"></a>

Les récapitulatifs de politique comprennent un récapitulatif de niveau d'accès décrivant les autorisations d'action définies pour chaque service mentionné dans la politique. Pour en savoir plus sur les récapitulatifs de politiques, consultez [Récapitulatifs de la politique](access_policies_understand.md). Les récapitulatifs de niveau d'accès indiquent si les actions dans chaque niveau d'accès (`List`, `Read`, `Tagging`, `Write`, et `Permissions management`) ont des autorisations `Full` ou `Limited` définies dans la politique. Pour consulter la classification des niveaux d'accès attribuée à chaque action d'un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](reference_policies_actions-resources-contextkeys.html).

L'exemple suivant illustre l'accès fourni par une politique pour les services donnés. Pour consulter des exemples de documents de politique JSON complets et les récapitulatifs associés, consultez [Exemples de récapitulatifs de la politique](access_policies_policy-summary-examples.md).


****  

| Service | Niveau d’accès | Cette politique fournit les autorisations suivantes : | 
| --- | --- | --- | 
| IAM | Accès complet à  | Accès à toutes les actions au sein du service IAM. | 
| CloudWatch | Complet : List (Liste) | Accès à toutes les CloudWatch actions du niveau List d'accès, mais pas d'accès aux actions avec la classification ReadWrite, ou niveau Permissions management d'accès. | 
| Data Pipeline | Limité : List (Liste), Read (Lire) | Accès à au moins une des AWS Data Pipeline actions du niveau d'Readaccès List et, mais pas à toutes les actions, mais pas aux Permissions management actions Write ou. | 
| EC2 | Complet : List (Liste), Read (Lire) Limité : Write (Écrire) | Accès à toutes les actions Amazon EC2 List et Read, et accès à au moins une action Amazon EC2 Write, mais à pas toutes, mais aucun accès aux actions ayant la classification de niveau d'accès Permissions management. | 
| S3 | Limité : Read (Lire), Write (Écrire), Permissions management (Gestion des autorisations) | Accès à au moins une action Amazon S3 Read, Write et Permissions management, mais pas toutes à la fois. | 
| codedploy | (vide) | Accès inconnu, car IAM ne reconnaît pas ce service. | 
| API Gateway | Aucune | Aucun accès n'est défini dans la politique. | 
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png) Aucune action n'est définie. | Aucun accès, car aucune action n'est définie pour le service. Pour comprendre et corriger ce problème, veuillez consulter [Ma politique n'accorde pas les autorisations escomptées](troubleshoot_policies.md#policy-summary-not-grant-permissions). | 

Dans le récapitulatif d’une politique, **Accès complet** indique que la politique donne accès à toutes les actions au sein du service. Les politiques permettant l'accès à certaines, mais pas à l'ensemble des actions contenues dans un service sont regroupées en fonction de la classification de niveau d'accès. Cela est indiqué par un des regroupements de niveaux d'accès suivants :
+ **Complet** : La politique fournit un accès complet à toutes les actions contenues dans la classification de niveau d'accès spécifiée.
+ **Limité** : La politique fournit un accès à une ou plusieurs actions, mais pas à l'ensemble des actions contenues dans la classification de niveau d'accès spécifiée.
+ **Aucun** : La politique ne fournit aucun accès.
+ (vide) : IAM ne reconnaît pas ce service. Si le nom du service comprend une faute de frappe, la politique ne fournit aucun accès au service. Si le nom du service est correct, il se peut que le service ne prenne pas en charge les récapitulatifs de politique ou qu'il soit en mode aperçu. Dans ce cas, la politique peut accorder l'accès, mais celui-ci ne peut pas être affiché dans le récapitulatif de la politique. Pour demander la prise en charge du récapitulatif de politique d'un service disponible pour tous (GA), consultez [Le service ne prend pas en charge les récapitulatifs de politique IAM](troubleshoot_policies.md#unsupported-services-actions).

Les résumés des niveaux d'accès qui incluent un accès limité (partiel) aux actions sont regroupés selon les classifications des niveaux d' AWS accès `List``Read`,, `Tagging``Write`, ou`Permissions management`.

## AWS niveaux d'accès
<a name="access_policies_access-level"></a>

AWS définit les classifications de niveaux d'accès suivantes pour les actions d'un service :
+ **List (Liste)** : Autorisation de répertorier les ressources au sein du service afin de déterminer si un objet existe. Les actions associées à ce niveau d'accès peuvent répertorier les objets mais ne peuvent pas voir le contenu d'une ressource. Par exemple, l'action `ListBucket` Amazon S3 possède le niveau d'accès **List** (Liste). 
+ **Read (Lire)** : Autorisation de lire le contenu et les attributs de ressources dans le service, mais pas de les modifier. Par exemple, les actions Amazon S3 `GetObject` et `GetBucketLocation` possèdent le niveau d'accès **Read** (Lecture).
+ **Balisage** : Autorisation d'effectuer des actions qui modifient uniquement l'état des balises de ressource. Par exemple, les actions IAM `TagRole` et `UntagRole` ont le niveau d'accès **Tagging** (Balisage), car elles autorisent uniquement le balisage ou l'annulation du balisage d'un rôle. Cependant, l'action `CreateRole` autorise le balisage d'une ressource de rôle lorsque vous créez ce rôle. Étant donné que l'action n'ajoute pas uniquement une balise, elle possède le niveau d'accès `Write`.
+ **Write (Écrire)** : autorisation de créer, supprimer ou modifier des ressources du service. Par exemple, les actions Amazon S3 `CreateBucket` `DeleteBucket` et `PutObject` possèdent le niveau d'accès **Write** (Écriture). Les actions `Write` peuvent également autoriser la modification d'une balise de ressource. Toutefois, une action qui autorise uniquement les modifications des balises possède le niveau d'accès `Tagging`.
+ **Gestion des autorisations : la** gestion des autorisations fait référence aux actions qui contrôlent l'accès interne Services AWS, y compris les autorisations d'identité IAM et non-IAM, mais exclut les contrôles d'accès au niveau du réseau tels que les groupes de sécurité. Par exemple, la plupart des AWS Organizations actions IAM, ainsi que les actions Amazon S3, `DeleteBucketPolicy` ont le niveau `PutBucketPolicy` d'accès à la **gestion des autorisations**.
**Conseil**  
Pour améliorer votre sécurité Compte AWS, limitez ou surveillez régulièrement les politiques qui incluent la classification des niveaux d'accès à la **gestion des autorisations**.

Pour consulter la classification des niveaux d'accès pour toutes les actions d'un service, voir [Actions, ressources et clés de condition pour les AWS services](reference_policies_actions-resources-contextkeys.html).

# Récapitulatif du service (liste des actions)
<a name="access_policies_understand-service-summary"></a>

Les politiques sont résumées dans trois tables : récapitulatif de la politique, [récapitulatif du service](access_policies_understand-policy-summary.md) et [récapitulatif de l'action](access_policies_understand-action-summary.md). La table du *récapitulatif du service* inclut une liste des actions et des récapitulatifs des autorisations définies par la politique pour le service choisi.

![\[Image d'un diagramme de récapitulatifs de politiques illustrant les trois tables et la relation entre elles\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)


Vous pouvez consulter un récapitulatif du service pour chaque service répertorié dans le récapitulatif de la politique qui accorde les autorisations. La table est regroupée en sections **Uncategorized actions (Actions non catégorisées)**, **Uncategorized resource types (Types de ressources non catégorisées)** et de niveau d'accès. Si la politique comprend une action qu'IAM ne reconnaît pas, l'action est incluse dans la section **Uncategorized actions** (Actions non catégorisées) de la table. Si IAM reconnaît l’action, elle est alors incluse dans l’une des sections de niveau d’accès (**liste**, **lecture**, **écriture** et **gestion des autorisations**) du tableau. Pour consulter la classification des niveaux d'accès attribuée à chaque action d'un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](reference_policies_actions-resources-contextkeys.html).

## Présentation des éléments d'un récapitulatif du service
<a name="understanding-elements-service-summary"></a>

L'exemple suivant représente le résumé des services pour les actions Amazon S3 qui sont autorisées à partir d'un résumé de la politique. Les actions de ce service sont groupées par niveau d'accès. Par exemple, 35 actions **Lire** sont définies sur un total de 52 actions **Lire** disponibles pour le service.

![\[Image de la boîte de dialogue du récapitulatif du service\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)


La page de récapitulatif du service pour une politique gérée inclut les informations suivantes :

1. Si la politique n'accorde pas les autorisations pour toutes les actions, ressources et conditions définies pour le service dans la politique, un avertissement ou une bannière d'erreur s'affiche dans la partie supérieure de la page. Puis le récapitulatif du service inclut des détails relatifs au problème. Pour savoir comment les récapitulatifs de politique vous aident à comprendre les autorisations que votre politique vous accorde et à résoudre les problèmes les concernant, consultez [Ma politique n'accorde pas les autorisations escomptées](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Choisissez **JSON** pour consulter des détails supplémentaires sur la politique. Cela peut vous servir pour afficher l'ensemble des conditions appliquées aux actions. (Si vous consultez le récapitulatif du service pour une politique en ligne attachée directement à un utilisateur, vous devez fermer la boîte de dialogue du récapitulatif du service et revenir au récapitulatif de la politique pour accéder au document de politique JSON.)

1. Pour consulter le résumé d'une action spécifique, tapez des mots-clés dans la zone de **Recherche** afin de réduire la liste des actions disponibles.

1. En regard de la flèche de retour **Services** apparaît le nom du service (dans ce cas **S3**). Le résumé des services pour ce service inclut la liste des actions autorisées ou refusées définies dans la politique. Si le service apparaît sous **(Refus explicite)** dans l'onglet **Autorisations**, alors les actions énumérées dans la table récapitulative des services sont explicitement refusées. Si le service apparaît sous **Autoriser** dans l'onglet **Autorisations**, alors les actions énumérées dans la table récapitulative des services sont autorisées. 

1. **Action** : cette colonne énumère les actions définies dans la politique et fournit les ressources et les conditions pour chaque action. Si la politique accorde ou refuse des autorisations à l'action, alors le nom de l'action renvoie à la table *[récapitulative de l'action](access_policies_understand-action-summary.md)*. La table regroupe ces actions dans au moins une ou jusqu'à cinq sections au maximum, en fonction du niveau d'accès autorisé ou refusé par la politique. Les sections sont **Liste**, **Lire**, **Écrire**, **Gestion des autorisations** et **Balisage**. Le compte indique le nombre d'actions reconnues qui fournissent des autorisations pour chaque niveau d'accès. Le total correspond au nombre d'actions connues pour le service. Dans cet exemple, 35 actions fournissent des autorisations sur un total de 52 actions connues Amazon S3 **Lire**. Pour consulter la classification des niveaux d'accès attribuée à chaque action d'un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](reference_policies_actions-resources-contextkeys.html).

1. **Afficher les actions restantes** : activez ce bouton pour développer ou masquer la table afin d'inclure des actions connues mais qui ne fournissent pas d'autorisations pour ce service. L'activation du bouton permet également d'afficher des avertissements pour tous les éléments qui ne fournissent pas d'autorisations.

1. **Resource** (Ressource) : cette colonne présente les ressources que la politique définit pour le service. IAM ne vérifie pas si la ressource s'applique à chaque action. Dans cet exemple, les actions du service Amazon S3 sont autorisées uniquement sur la ressource du compartiment Amazon S3 `developer_bucket`. En fonction des informations que le service fournit à IAM, vous verrez s'afficher un ARN, tel que `arn:aws:s3:::developer_bucket/*`, ou le type de ressource défini, tel que `BucketName = developer_bucket`.
**Note**  
Cette colonne peut contenir une ressource provenant d'un service différent. Si l'instruction de politique qui inclut la ressource ne contient pas d'actions et de ressources provenant d'un même service, cela signifie que votre politique contient des ressources non appariées. IAM ne vous avertit pas que des ressources ne sont pas appariées lorsque vous créez une politique ou que vous affichez une politique dans le récapitulatif du service. IAM n'indique pas non plus si l'action s'applique aux ressources, uniquement si le service correspond. Si cette colonne contient une ressource non appariée, recherchez d'éventuelles erreurs dans votre politique. Afin de mieux comprendre vos politiques, vous devez toujours les tester avec le [simulateur de politique](access_policies_testing-policies.md).

1. **Request condition** (Demander une condition) : cette colonne indique si les services ou actions associés aux ressources font l'objet de conditions. Pour en savoir plus sur ces conditions, choisissez **JSON** pour examiner le document de politique JSON.

1. **(No access)** (Pas d'accès) : cette politique inclut une action qui ne fournit pas d'autorisations. 

1. **Resource warning** (Avertissement concernant les ressources) : pour les actions dont les ressources ne fournissent pas d'autorisations complètes, l'un des avertissements suivants s'affiche :
   + **Cette action ne prend pas en charge les autorisations au niveau des ressources. Cet élément exige un caractère générique (\$1) pour la ressource.** – Cela signifie que la politique inclut des autorisations au niveau des ressources, mais qu'elle doit inclure `"Resource": ["*"]` pour fournir des autorisations pour cette action.
   + **Cette action n'a pas de ressource applicable.** – Cela signifie que l'action est incluse dans la politique sans ressource prise en charge.
   + **Cette action n'a pas de ressource et de condition applicable.** – Cela signifie que l'action est incluse dans la politique sans ressource prise en charge, ni condition prise en charge. Dans ce cas, il y a également une condition incluse dans la politique pour ce service, mais il n'existe pas de conditions qui s'appliquent à cette action.

1. Les actions qui fournissent des autorisations incluent un lien vers le récapitulatif de l'action.

# Affichage des récapitulatifs du service
<a name="access_policies_view-service-summary"></a>

Vous pouvez consulter un récapitulatif du service pour chaque service répertorié dans le récapitulatif de la politique qui accorde les autorisations. 

## Affichage des récapitulatifs du service à partir de la page **Politiques**
<a name="viewing-service-summaries-from-the-policies-page"></a>

Vous pouvez afficher le résumé des services pour les politiques gérées sur la page **Politiques**.

**Pour afficher le récapitulatif du service d'une politique gérée**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Dans la liste des stratégies, choisissez le nom de la stratégie à afficher.

1. Sur la page **Détails de la politique**, affichez l'onglet **Autorisations** pour consulter le résumé de la politique.

1. Dans la liste des services du récapitulatif de la politique, choisissez le nom du service à afficher.

## Affichage du récapitulatif du service d’une politique attachée à un utilisateur
<a name="viewing-service-summaries-for-policies-attached-to-users"></a>

Vous pouvez consulter le récapitulatif des services pour toutes les politiques attachées à un utilisateur IAM.

**Pour afficher le récapitulatif du service d'une politique attachée à un utilisateur**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Dans la liste des utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez afficher la politique.

1. Sur la page **Récapitulatif** de l'utilisateur, affichez l'onglet **Autorisations** pour afficher la liste des stratégies attachées à l'utilisateur directement ou via un groupe.

1. Dans la table des politiques de l'utilisateur, choisissez le nom de la politique que vous voulez afficher.

   Si vous vous trouvez sur la page **Utilisateurs** et vous choisissez d'afficher le résumé des services pour une politique attachée à cet utilisateur, vous êtes redirigé vers la page **Politiques**. Vous pouvez afficher les résumés des services uniquement sur la page **Politiques**.

1. Choisissez **Résumé**. Dans la liste des services du récapitulatif de la politique, choisissez le nom du service à afficher.
**Note**  
Si la politique que vous sélectionnez est une politique en ligne attachée directement à l'utilisateur, le tableau récapitulatif du service s'affiche. Si la politique est une politique en ligne attachée via un groupe, vous êtes dirigé vers le document de politique JSON de ce groupe. Si la stratégie est une stratégie gérée, vous êtes dirigé vers le récapitulatif du service de cette stratégie sur la page **Stratégies**.

## Affichage du récapitulatif du service d’une politique attachée à un rôle
<a name="viewing-service-summaries-for-policies-attached-to-roles"></a>

Vous pouvez afficher le récapitulatif de politique pour toute politique attachée à un rôle.

**Pour afficher le récapitulatif du service d'une politique attachée à un rôle**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Choisissez **Rôles** dans le panneau de navigation.

1. Dans la liste des rôles, choisissez le nom du rôle dont vous souhaitez afficher la politique.

1. Sur la page **Récapitulatif** du rôle, affichez l'onglet **Autorisations** pour afficher la liste des stratégies attachées au rôle.

1. Dans la table des politiques pour le rôle, choisissez le nom de la politique que vous voulez afficher.

   Si vous vous trouvez sur la page **Rôles** et vous choisissez d'afficher le résumé des services pour une politique attachée à cet utilisateur, vous êtes redirigé vers la page **Politiques**. Vous pouvez afficher les résumés des services uniquement sur la page **Politiques**.

1. Dans la liste des services du récapitulatif de la politique, choisissez le nom du service à afficher.

# Récapitulatif de l'action (liste des ressources)
<a name="access_policies_understand-action-summary"></a>

Les politiques sont résumées dans trois tables : récapitulatif de la politique, [récapitulatif du service](access_policies_understand-policy-summary.md) et [récapitulatif de l'action](access_policies_understand-service-summary.md). La table *récapitulative de l'action* inclut une liste des ressources et des conditions associées qui s'appliquent à l'action choisie. 

![\[diagramme de récapitulatifs de politiques illustrant les trois tables et la relation entre elles.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)


Pour afficher un récapitulatif de l'action pour chaque action qui accorde des autorisations, choisissez le lien dans le récapitulatif du service. La table récapitulative de l'action inclut des détails concernant la ressource, notamment sa **Région** et son **Compte**. Vous pouvez également consulter les conditions qui s'appliquent à chaque ressource. Cela affiche les conditions s'appliquant à certaines ressources mais pas à d'autres.

## Présentation des éléments d'un récapitulatif d'action
<a name="understanding-elements-action-summary"></a>

L'exemple ci-dessous illustre le récapitulatif de l'action `PutObject` (écriture) du récapitulatif de service Amazon S3 (consultez [Récapitulatif du service (liste des actions)](access_policies_understand-service-summary.md)). Pour cette action, la politique définit plusieurs conditions sur une seule ressource.



![\[Image de la boîte de dialogue du récapitulatif de l'action\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)


La page de récapitulatif de l'action comprend les informations suivantes :

1. Choisissez **JSON** pour consulter des détails supplémentaires sur la politique, tels que les conditions multiples appliquées aux actions. (Si vous affichez le résumé d'action d'une politique en ligne qui est directement attachée à un utilisateur, les étapes diffèrent. Pour accéder au document de politique JSON dans ce cas, vous devez fermer la boîte de dialogue de résumé d'action et revenir au résumé de politique.)

1. Pour afficher le résumé d'une ressource spécifique, tapez des mots-clés dans la zone de **Recherche** afin de réduire la liste des ressources disponibles.

1. À côté de la flèche de retour des **actions** apparaissent le nom du service et de l'action au format `action name action in service` (dans ce cas, **PutObject action dans S3**). Le récapitulatif de l'action pour ce service inclut la liste des ressources autorisées définies dans la politique.

1. **Resource** (Ressource) : cette colonne présente les ressources que la politique définit pour le service choisi. Dans cet exemple, l'**PutObject**action est autorisée sur tous les chemins d'objets, mais uniquement sur la ressource du compartiment `developer_bucket` Amazon S3. En fonction des informations que le service fournit à IAM, vous verrez s'afficher un ARN, tel que `arn:aws:s3:::developer_bucket/*`, ou le type de ressource défini, tel que `BucketName = developer_bucket, ObjectPath = All`.

1. **Region** (Région) : cette colonne présente la région dans laquelle la ressource est définie. Il est possible de définir des ressources pour toutes les régions ou pour une seule région. Les ressources ne peuvent exister que dans une région spécifique.
   + **Toutes les régions** : les actions associées à la ressource s'appliquent à toutes les régions. Dans cet exemple, l'action appartient à un service mondial, Amazon S3. Les actions qui appartiennent aux services mondiaux s'appliquent à toutes les régions.
   + Region text (Texte de région) : les actions associées à la ressource s'appliquent à une région. Par exemple, une politique peut spécifier la région `us-east-2` pour une ressource.

1. **Account** (Compte) : cette colonne indique si les services ou actions associés à la ressource s'appliquent à un compte spécifique. Les ressources peuvent exister dans tous les comptes ou dans un seul. Celles-ci ne peuvent pas exister dans un compte spécifique.
   + **All accounts** (Tous les comptes) : les actions associées à la ressource s'appliquent à tous les comptes. Dans cet exemple, l'action appartient à un service mondial, Amazon S3. Les actions qui appartiennent aux services mondiaux s'appliquent à tous les comptes.
   + **Ce compte** : les actions associées à la ressource s'appliquent uniquement au compte auquel vous êtes connecté.
   + Account number (Numéro du compte) : les actions associées à la ressource s'appliquent uniquement à un compte (un compte auquel vous n'êtes pas connecté). Par exemple, si une politique précise le compte `123456789012` pour une ressource, le numéro de compte apparaît dans le récapitulatif de la politique.

1. **Request condition** (Demander une condition) : cette colonne indique si les actions qui sont associées aux ressources font l'objet de conditions. Cet exemple inclut la condition `s3:x-amz-acl = public-read`. Pour en savoir plus sur ces conditions, choisissez **JSON** pour examiner le document de politique JSON.

# Affichage des récapitulatifs des actions
<a name="access_policies_view-action-summary"></a>

Vous pouvez consulter un récapitulatif d’action pour chaque action répertorié dans le récapitulatif de la politique qui accorde les autorisations. 

## Affichage des récapitulatifs des actions à partir de la page **Politiques**
<a name="viewing-action-summaries-from-the-policies-page"></a>

Vous pouvez afficher le récapitulatif d’action pour les politiques gérées.

**Pour afficher le récapitulatif de l'action d'une politique gérée**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Dans la liste des stratégies, choisissez le nom de la stratégie à afficher.

1. Sur la page **Détails de la politique**, affichez l'onglet **Autorisations** pour consulter le résumé de la politique.

1. Dans la liste des services du récapitulatif de la politique, choisissez le nom du service à afficher.

1. Dans la liste des actions du récapitulatif du service, choisissez le nom de l'action à afficher.

## Affichage des récapitulatifs d’action d’une politique attachée à un utilisateur
<a name="viewing-action-summaries-for-policies-attached-to-users"></a>

Vous pouvez afficher le récapitulatif d’action pour toute politique attachée à un utilisateur.

**Pour afficher le récapitulatif de l'action d'une politique attachée à un utilisateur**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Choisissez **Utilisateurs** dans le panneau de navigation.

1. Dans la liste des utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez afficher la politique.

1. Sur la page **Récapitulatif** de l'utilisateur, affichez l'onglet **Autorisations** pour afficher la liste des stratégies attachées à l'utilisateur directement ou via un groupe.

1. Dans la table des politiques de l'utilisateur, choisissez le nom de la politique que vous voulez afficher.

   Si vous vous trouvez sur la page **Utilisateurs** et vous choisissez d'afficher le résumé des services pour une politique attachée à cet utilisateur, vous êtes redirigé vers la page **Politiques**. Vous pouvez afficher les résumés des services uniquement sur la page **Politiques**.

1. Dans la liste des services du récapitulatif de la politique, choisissez le nom du service à afficher.
**Note**  
Si la politique que vous sélectionnez est une politique en ligne attachée directement à l'utilisateur, le tableau récapitulatif du service s'affiche. Si la politique est une politique en ligne attachée via un groupe, vous êtes dirigé vers le document de politique JSON de ce groupe. Si la stratégie est une stratégie gérée, vous êtes dirigé vers le récapitulatif du service de cette stratégie sur la page **Stratégies**.

1. Dans la liste des actions du récapitulatif du service, choisissez le nom de l'action à afficher.

## Affichage des récapitulatifs d’action d’une politique attachée à un rôle
<a name="viewing-action-summaries-for-policies-attached-to-roles"></a>

Vous pouvez afficher le récapitulatif d’action pour toute politique attachée à un rôle.

**Pour afficher le récapitulatif d'action d'une politique attachée à un rôle**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Dans la liste des rôles, choisissez le nom du rôle dont vous souhaitez afficher la politique.

1. Sur la page **Récapitulatif** du rôle, affichez l'onglet **Autorisations** pour afficher la liste des stratégies attachées au rôle.

1. Dans la table des politiques pour le rôle, choisissez le nom de la politique que vous voulez afficher.

   Si vous vous trouvez sur la page **Rôles** et vous choisissez d'afficher le résumé des services pour une politique attachée à cet utilisateur, vous êtes redirigé vers la page **Politiques**. Vous pouvez afficher les résumés des services uniquement sur la page **Politiques**.

1. Dans la liste des services du récapitulatif de la politique, choisissez le nom du service à afficher.

1. Dans la liste des actions du récapitulatif du service, choisissez le nom de l'action à afficher.

# Exemples de récapitulatifs de la politique
<a name="access_policies_policy-summary-examples"></a>

Les exemples suivants incluent des politiques JSON et leurs [récapitulatifs de la politique](access_policies_understand-policy-summary.md) associés, des [récapitulatifs du service](access_policies_understand-service-summary.md), ainsi que des [récapitulatifs de l'action](access_policies_understand-action-summary.md) pour vous aider à comprendre les autorisations accordées par le biais d'une politique.

## Politique 1 : DenyCustomerBucket
<a name="example1"></a>

Cette politique illustre une autorisation et un refus pour le même service.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}
```

------

***DenyCustomerBucket**Résumé de la politique :*

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)


*DenyCustomerBucket Résumé du service **S3 (refus explicite)** :*

![\[Image de la boîte de dialogue du récapitulatif du service\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)


***GetObject (Lire)** Résumé des actions :*

![\[Image de la boîte de dialogue du récapitulatif de l'action\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)


## Politique 2 : DynamoDbRowCognito ID
<a name="policy_example2"></a>

Cette politique offre un accès de niveau ligne à Amazon DynamoDB en fonction de l'ID Amazon Cognito de l'utilisateur.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}
```

------

*DynamoDbRowCognitoRésumé **de la politique d'identification** :*

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)


***DynamoDbRowCognitoRésumé du service ID DynamoDB (Allow)** :*

![\[Image de la boîte de dialogue du récapitulatif du service\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)


*GetItem Résumé des actions **(liste)** :*

![\[Image de la boîte de dialogue du récapitulatif de l'action\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)


## Politique 3 : MultipleResourceCondition
<a name="policy_example3"></a>

Cette politique comprend plusieurs ressources et conditions.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}
```

------

***MultipleResourceCondition**Résumé de la politique :*

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)


*MultipleResourceCondition Résumé du service **S3 (Autoriser)** :*

![\[Image de la boîte de dialogue du récapitulatif du service\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)


***PutObject (Écrire)** Résumé des actions :*

![\[Image de la boîte de dialogue du récapitulatif de l'action\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)


## Politique 4 : EC2 \$1dépanner
<a name="policy_example4"></a>

La politique suivante permet aux utilisateurs de récupérer une capture d'écran d'une instance Amazon EC2 en cours d'exécution, ce qui facilite la résolution des problèmes liés à EC2. Cette politique permet également de consulter des informations sur les éléments du compartiment du développeur Amazon S3. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}
```

------

***EC2\$1Récapitulatif de la politique de résolution des problèmes** :*

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)


***EC2\$1Récapitulatif du service S3 (Autoriser)** :*

![\[Image de la boîte de dialogue du récapitulatif du service\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)


*ListBucket Résumé des actions **(liste)** :*

![\[Image de la boîte de dialogue du récapitulatif de l'action\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)


## Politique 5 : CodeBuild \$1 CodeCommit \$1 CodeDeploy
<a name="example6"></a>

Cette politique donne accès à des CodeDeploy ressources et à des ressources spécifiques CodeBuild. CodeCommit Ces ressources apparaissent uniquement avec le service correspondant car elles sont propres à chaque service. Si vous incluez une ressource qui ne correspond à aucun service de l'élément `Action`, elle apparaît dans tous les récapitulatifs de l'action.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}
```

------

***CodeBuild\$1 CodeCommit \$1** Résumé CodeDeploy de la politique :*

![\[Image de la boîte de dialogue du récapitulatif de la politique\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 CodeDeploy CodeBuild (Autoriser)** Résumé du service :*

![\[Image de la boîte de dialogue du récapitulatif du service\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 CodeDeploy StartBuild (Écrire)** Résumé de l'action :*

![\[Image de la boîte de dialogue du récapitulatif de l'action\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)


# Autorisations requises pour accéder aux autres ressources IAM
<a name="access_permissions-required"></a>

Les *ressources* sont des objets au sein d'un service. Les ressources IAM incluent des groupes, des utilisateurs, des rôles et des politiques. Si vous êtes connecté avec des Utilisateur racine d'un compte AWS informations d'identification, vous n'êtes soumis à aucune restriction quant à l'administration des informations d'identification IAM ou des ressources IAM. Cependant, les utilisateurs IAM doivent explicitement accorder des autorisations pour gérer les informations d'identification ou des ressources IAM. Pour ce faire, vous pouvez attacher une politique basée sur les identités à l'utilisateur.

**Note**  
Dans la AWS documentation, lorsque nous faisons référence à une politique IAM sans mentionner aucune des catégories spécifiques, nous entendons une politique basée sur l'identité et gérée par le client. Pour de plus amples informations sur les catégories de politique, veuillez consulter [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).

## Autorisations pour la gestion des identités IAM
<a name="access_permissions-required-identities"></a>

Les autorisations qui sont requises pour administrer des groupes, des utilisateurs, des rôles et des informations d'identification IAM correspondent aux actions d'API de la tâche. Par exemple, pour créer des utilisateurs IAM, vous devez disposer de l'autorisation `iam:CreateUser` qui comporte la commande API correspondante : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html). Pour autoriser un utilisateur IAM à créer d'autres utilisateurs IAM, vous pouvez attacher une politique IAM comme celle qui suit à cet utilisateur : 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Dans une politique, la valeur de l'élément `Resource` dépend de l'action et des ressources que cette action peut affecter. Dans l'exemple précédent, la politique autorise un utilisateur à créer un autre utilisateur (`*` est un caractère générique qui correspond à toutes les chaînes). Par opposition, une politique qui autorise des utilisateurs à modifier uniquement leurs propres clés d’accès (actions API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)) comporte généralement un élément `Resource`. Dans ce cas, l'ARN inclut une variable (`${aws:username}`) qui se résout par le nom de l'utilisateur actuel, comme dans l'exemple suivant : 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListUsersForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "arn:aws:iam::*:*"
        },
        {
            "Sid": "ViewAndUpdateAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:UpdateAccessKey",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Dans l'exemple précédent, `${aws:username}` est une variable qui renvoie au nom utilisateur de l'utilisateur actuel. Pour de plus amples informations sur les variables de politique, veuillez consulter [Éléments des politiques IAM : variables et balises](reference_policies_variables.md). 

L'utilisation d'un caractère générique (`*`) dans le nom d'action facilite souvent l'octroi d'autorisations pour toutes les actions associées à une tâche spécifique. Par exemple, pour autoriser des utilisateurs à exécuter n'importe quelle action IAM, vous pouvez utiliser `iam:*` pour l'action. Pour autoriser les utilisateurs à effectuer n'importe quelle action associée uniquement aux clés d'accès, vous pouvez utiliser `iam:*AccessKey*` dans l'élément `Action` d'une instruction de politique. Cela permet d’accorder à l’utilisateur l’autorisation d’effectuer les actions [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html), et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html). (Si une action dont le nom est « AccessKey » est ajoutée à IAM dans le futur, l'utilisation `iam:*AccessKey*` de l'`Action`élément donnera également à l'utilisateur l'autorisation d'effectuer cette nouvelle action.) L'exemple suivant montre une politique qui permet aux utilisateurs d'effectuer toutes les actions relatives à leurs propres clés d'accès (`account-id`remplacez-les par votre Compte AWS identifiant) : 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "iam:*AccessKey*",
        "Resource": "arn:aws:iam::111122223333:user/${aws:username}"
    }
}
```

------

Certaines tâches, comme la suppression d'un groupe, impliquent plusieurs actions : vous devez d'abord supprimer les utilisateurs du groupe, puis détacher ou supprimer les stratégie du groupe et enfin supprimer réellement le groupe. Si vous souhaitez qu'un utilisateur supprime un groupe, vous devez vous assurer d'accorder à celui-ci les autorisations nécessaires pour exécuter toutes les actions associées. 

## Autorisations pour travailler dans le AWS Management Console
<a name="Credentials-Permissions-overview-console"></a>

Les exemples précédents montrent les politiques qui permettent à un utilisateur d'effectuer les actions avec le [AWS CLI](https://aws.amazon.com/cli/)ou le [AWS SDKs](https://aws.amazon.com/tools/). 

À mesure que les utilisateurs se servent de la console, celle-ci envoie des demandes à IAM pour répertorier les groupes, les utilisateurs, les rôles et les politiques, et pour obtenir les politiques associées à un groupe, un utilisateur ou un rôle. La console émet également des demandes pour obtenir Compte AWS des informations et des informations sur le principal. Le principal est l'utilisateur qui effectue les demandes sur la console. 

En général, pour effectuer une action, vous devez posséder uniquement l'action correspondante dans une politique. Pour pouvoir créer un utilisateur, vous devez disposer d'une autorisation pour appeler l'action `CreateUser`. Souvent, lorsque vous utilisez la console pour effectuer une action, vous devez avoir les autorisations pour afficher, répertorier, obtenir, ou encore afficher les ressources sur la console. Ceci est nécessaire pour vous permettre de naviguer au sein de la console pour effectuer l'action spécifiée. Par exemple, si l'utilisateur Jorge souhaite utiliser la console pour modifier ses propres clés d'accès, il accède à la console IAM et choisit **Users**. Cette action indique à la console d'effectuer une demande [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html). Si Jorge n'a pas l'autorisation d'exécuter l'action `iam:ListUsers`, la console se voit refuser l'accès lorsqu'elle essaie de répertorier les utilisateurs. Par conséquent, Jorge ne peut accéder à son propre nom et à ses propres clés d'accès, même s'il a l'autorisation d'exécuter les actions [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html).

Si vous souhaitez autoriser les utilisateurs à administrer des groupes, des utilisateurs, des rôles, des politiques et des informations d'identification avec le AWS Management Console, vous devez inclure des autorisations pour les actions effectuées par la console. Pour obtenir des exemples de politiques que vous pouvez utiliser pour accorder ces autorisations à un utilisateur, consultez [Exemples de politiques de gestion de ressources IAM](id_credentials_delegate-permissions_examples.md). 

## Accorder des autorisations sur plusieurs AWS comptes
<a name="UserPermissionsAcrossAccounts"></a>

Vous pouvez accorder directement à des utilisateurs IAM de votre propre compte un accès à vos ressources. Si des utilisateurs d'un autre compte ont besoin d'accéder à vos ressources, vous pouvez créer un rôle IAM qui est une entité incluant des autorisations, mais qui n'est pas associée à un utilisateur spécifique. Les utilisateurs d'autres comptes peuvent alors utiliser le rôle et accéder aux ressources selon les autorisations que vous avez attribuées à ce rôle. Pour plus d’informations, veuillez consulter [Accès pour un utilisateur IAM à un autre utilisateur Compte AWS dont vous êtes le propriétaire](id_roles_common-scenarios_aws-accounts.md).

**Note**  
Certains services prennent en charge les politiques basées sur les ressources, comme décrit dans[Politiques basées sur l'identité et Politiques basées sur une ressource](access_policies_identity-vs-resource.md) (Amazon S3, Amazon SNS et Amazon SQS, par ex.). Pour ces services, une alternative à l'utilisation de rôles consiste à attacher une politique à la ressource (compartiment, rubrique ou file d'attente) que vous voulez partager. La politique basée sur les ressources peut spécifier le AWS compte autorisé à accéder à la ressource.

## Autorisations pour qu'un service accède à un autre service
<a name="UserPermissionsAcrossAWS_ARCHIVE"></a>

De nombreux AWS services accèdent à d'autres AWS services. Par exemple, plusieurs services AWS , notamment Amazon EMR, Elastic Load Balancing et Amazon EC2 Auto Scaling, gèrent des instances Amazon EC2. D'autres AWS services utilisent les compartiments Amazon S3, les rubriques Amazon SNS, les files d'attente Amazon SQS, etc.

Le scénario pour gérer des autorisations dans ces cas varie selon le service. Voici des exemples de la façon dont les autorisations sont gérées pour différents services : 
+ Dans Amazon EC2 Auto Scaling, les utilisateurs doivent être autorisés à utiliser Auto Scaling, mais n'ont pas besoin de recevoir explicitement l'autorisation de gérer des instances Amazon EC2. 
+ Dans AWS Data Pipeline, un rôle IAM détermine ce que peut faire un pipeline ; les utilisateurs ont besoin d'une autorisation pour assumer ce rôle. (Pour obtenir des détails, veuillez consulter [Granting Permissions to Pipelines with IAM (Octroi d'autorisations à des pipelines avec IAM)](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html)dans le *Manuel du développeur AWS Data Pipeline *.) 

Pour plus de détails sur la manière de configurer correctement les autorisations afin qu'un AWS service puisse accomplir les tâches que vous souhaitez, reportez-vous à la documentation du service que vous appelez. Pour savoir comment créer un rôle pour un service, consultez [Création d'un rôle pour déléguer des autorisations à un AWS service](id_roles_create_for-service.md).

**Configuration d'un service avec un rôle IAM pour l'exécution d'une tâche en votre nom**  
Lorsque vous souhaitez configurer un AWS service pour qu'il fonctionne en votre nom, vous fournissez généralement l'ARN d'un rôle IAM qui définit ce que le service est autorisé à faire. AWS vérifie que vous êtes autorisé à transmettre un rôle à un service. Pour de plus amples informations, veuillez consulter [Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service](id_roles_use_passrole.md).

## Actions requises
<a name="access_permissions-required-dependent-actions"></a>

Les actions sont les choses que vous pouvez faire sur une ressource, comme l'affichage, la création, l'édition et la suppression de cette ressource. Les actions sont définies par chaque AWS service.

Pour autoriser une personne à effectuer une action, vous devez inclure les actions nécessaires dans une politique qui s'applique à l'identité appelante ou à la ressource affectée. En général, pour fournir l'autorisation requise pour effectuer une action, vous devez inclure cette action dans votre politique. Par exemple, pour créer un utilisateur, vous devez ajouter l' CreateUser action à votre politique.

Dans certains cas, une action peut exiger l'inclusion d'actions connexes supplémentaires dans votre politique. Par exemple, pour fournir à une personne l'autorisation de créer un annuaire dans AWS Directory Service à l'aide de l'opération `ds:CreateDirectory`, vous devez inclure les actions suivantes dans sa politique :
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`

Lorsque vous créez ou éditez une politique à l'aide de l'éditeur visuel, vous recevez des avertissements et des instructions pour vous aider à choisir toutes les actions requises pour votre politique.

Pour plus d'informations sur les autorisations requises pour créer un répertoire dans AWS Directory Service, voir [Exemple 2 : Autoriser un utilisateur à créer un répertoire](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory).

# Exemples de politiques de gestion de ressources IAM
<a name="id_credentials_delegate-permissions_examples"></a>

Voici des exemples de politiques IAM qui autorisent les utilisateurs à exécuter des tâches associées à la gestion des utilisateurs, des groupes et des informations d'identification IAM. Il s'agit notamment de politiques qui permettent aux utilisateurs de gérer leurs propres mots de passe, clés d'accès et dispositifs d'authentification multi-facteur (MFA).

Pour des exemples de politiques qui permettent aux utilisateurs d'effectuer des tâches avec d'autres AWS services, tels qu'Amazon S3, Amazon EC2 et DynamoDB, consultez. [Exemples de politiques basées sur l'identité IAM](access_policies_examples.md) 

**Topics**
+ [Autoriser un utilisateur à répertorier les groupes, les utilisateurs et les politiques d'un compte, ainsi que d'autres informations à des fins d'élaboration de rapports](#iampolicy-example-userlistall)
+ [Autoriser un utilisateur à gérer l'adhésion à un groupe](#iampolicy-example-usermanagegroups)
+ [Autoriser un utilisateur à gérer les utilisateurs IAM](#creds-policies-users)
+ [Autoriser les utilisateurs à définir la politique de mot de passe du compte](#creds-policies-set-password-policy)
+ [Autoriser les utilisateurs à générer et extraire des rapports d'informations d'identification IAM](#iampolicy-generate-credential-report)
+ [Autoriser toutes les actions IAM (Accès Admin)](#creds-policies-all-iam)

## Autoriser un utilisateur à répertorier les groupes, les utilisateurs et les politiques d'un compte, ainsi que d'autres informations à des fins d'élaboration de rapports
<a name="iampolicy-example-userlistall"></a>

La politique suivante permet à l'utilisateur d'appeler toute action IAM qui commence par la chaîne `Get` ou `List` et générer des rapports. Pour afficher l'exemple de politique, consultez [IAM : autorise l'accès en lecture seule à la console IAM](reference_policies_examples_iam_read-only-console.md). 

## Autoriser un utilisateur à gérer l'adhésion à un groupe
<a name="iampolicy-example-usermanagegroups"></a>

La politique suivante permet à l'utilisateur de mettre à jour l'appartenance au groupe appelé *MarketingGroup*. Pour afficher l'exemple de politique, consultez [IAM : autorise la gestion des membres d'un groupe par programmation et dans la console](reference_policies_examples_iam_manage-group-membership.md). 

## Autoriser un utilisateur à gérer les utilisateurs IAM
<a name="creds-policies-users"></a>

La politique suivante permet à un utilisateur d'exécuter toutes les tâches associées à la gestion des utilisateurs IAM, mais pas d'effectuer d'actions sur d'autres entités, par exemple la création de groupes ou de politiques. Les actions autorisées sont notamment : 
+ Création de l'utilisateur (action [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)). 
+ Suppression de l'utilisateur. Cette tâche requiert des autorisations pour effectuer toutes les actions suivantes : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html). 
+ Affichage de la liste des utilisateurs du compte et des groupes (les actions [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)). 
+ Affichage de la liste et suppression des politiques pour l’utilisateur (les actions [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)) 
+ Changement de nom ou modification du chemin d'accès pour l'utilisateur (action [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). L'élément `Resource` doit inclure un ARN qui inclut à la fois le chemin d'accès source et le chemin d'accès cible. Pour plus d'informations sur les chemins d'accès, consultez [Noms conviviaux et chemins](reference_identifiers.md#identifiers-friendly-names).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Plusieurs autorisations incluses dans la politique précédente permettent à l'utilisateur d'exécuter des tâches dans AWS Management Console. Les utilisateurs qui exécutent des tâches liées à l'utilisateur uniquement à partir de l'[AWS CLI](https://aws.amazon.com/cli/)API de requête HTTP [AWS SDKs](https://aws.amazon.com/tools/), de, ou de l'API de requête IAM peuvent ne pas avoir besoin de certaines autorisations. Par exemple, si les utilisateurs connaissent déjà l'ARN des politiques à détacher d'un utilisateur, ils n'ont pas besoin d'autorisation `iam:ListAttachedUserPolicies`. La liste exacte des autorisations requises par un utilisateur varie en fonction des tâches qu'il doit effectuer lorsqu'il gère d'autres utilisateurs. 

Les autorisations suivantes de la politique permettent l'accès aux tâches utilisateur via   AWS Management Console:
+ `iam:GetAccount*`
+ `iam:ListAccount*`

## Autoriser les utilisateurs à définir la politique de mot de passe du compte
<a name="creds-policies-set-password-policy"></a>

Vous pouvez octroyer à certains utilisateurs des autorisations pour obtenir et mettre à jour la [politique de mot de passe](id_credentials_passwords_account-policy.md) de votre Compte AWS. Pour afficher l'exemple de politique, consultez [IAM : permet de définir les exigences de mot de passe du compte par programmation et dans la console](reference_policies_examples_iam_set-account-pass-policy.md). 

## Autoriser les utilisateurs à générer et extraire des rapports d'informations d'identification IAM
<a name="iampolicy-generate-credential-report"></a>

Vous pouvez autoriser les utilisateurs à générer et à télécharger un rapport répertoriant tous les utilisateurs de votre Compte AWS. Le rapport indique également l'état de plusieurs informations d'identification utilisateur, y compris les mots de passe, les clés d'accès, les dispositifs MFA et les certificats de signature. Pour de plus amples informations sur les rapports d'informations d'identification, veuillez consulter [Générez des rapports d'identification pour votre Compte AWS](id_credentials_getting-report.md). Pour afficher l'exemple de politique, consultez [IAM : générer et extraire des rapports sur les informations d'identification IAM](reference_policies_examples_iam-credential-report.md). 

## Autoriser toutes les actions IAM (Accès Admin)
<a name="creds-policies-all-iam"></a>

Il est possible d'accorder à certains utilisateurs des autorisations administratives leur permettant d'effectuer toutes les actions dans IAM, y compris la gestion des mots de passe et des clés d'accès, des dispositifs MFA et des certificats utilisateur. L'exemple de politique suivant accorde ces autorisations. 

**Avertissement**  
Lorsque vous accordez à un utilisateur un accès complet à IAM, il n'y a aucune limite aux autorisations qu'il peut accorder à him/herself ou à d'autres personnes. Ainsi, l'utilisateur peut créer de nouvelles entités IAM (utilisateurs ou rôles) et leur accorder un accès total à toutes les ressources de votre Compte AWS. Lorsque vous octroyez à un utilisateur un accès complet à IAM, vous lui donnez en réalité un accès total à toutes les ressources de votre Compte AWS. Cela inclut la possibilité de supprimer toutes les ressources. Vous devez octroyer ces autorisations aux administrateurs approuvés uniquement, et vous devez également mettre en œuvre l'authentification multi-facteur (MFA) pour ces administrateurs.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}
```

------

# Délégation temporaire de l'IAM
<a name="access_policies-temporary-delegation"></a>

## Présentation de
<a name="temporary-delegation-overview"></a>

La délégation temporaire accélère l'intégration et simplifie la gestion des produits Amazon et de AWS ses partenaires qui s'intègrent à vos AWS comptes. Au lieu de configurer manuellement plusieurs AWS services, vous pouvez déléguer des autorisations limitées temporaires qui permettent au fournisseur du produit d'effectuer les tâches de configuration en votre nom en quelques minutes grâce à des flux de travail de déploiement automatisés. Vous conservez le contrôle administratif en ce qui concerne les exigences d'approbation et les limites d'autorisation, tandis que les autorisations des fournisseurs de produits expirent automatiquement après la durée approuvée, sans qu'aucun nettoyage manuel ne soit nécessaire. Si le produit nécessite un accès permanent pour les opérations en cours, le fournisseur peut utiliser la délégation temporaire pour créer un rôle IAM avec une limite d'autorisation qui définit les autorisations maximales du rôle. Toutes les activités des fournisseurs de produits sont suivies à des AWS CloudTrail fins de surveillance de la conformité et de la sécurité.

**Note**  
Les demandes de délégation temporaire ne peuvent être créées que par les produits Amazon et les AWS partenaires qualifiés qui ont terminé le processus d'intégration des fonctionnalités. Les clients examinent et approuvent ces demandes, mais ne peuvent pas les créer directement. Si vous êtes un AWS partenaire qui souhaite intégrer la délégation temporaire IAM à votre produit, consultez le [Guide d'intégration des partenaires pour obtenir des instructions d'intégration](access_policies-temporary-delegation-partner-guide.md) et d'intégration.

## Comment fonctionne la délégation temporaire
<a name="temporary-delegation-how-it-works"></a>

La délégation temporaire permet à Amazon et à AWS ses partenaires de demander un accès temporaire et limité à votre compte. Après votre approbation, ils peuvent utiliser des autorisations déléguées pour prendre des mesures en votre nom. Les demandes de délégation définissent les autorisations spécifiques relatives aux AWS services et aux actions dont le fournisseur du produit a besoin pour déployer ou configurer les ressources de votre AWS compte. Ces autorisations ne sont disponibles que pour une durée limitée et expirent automatiquement après la durée spécifiée dans la demande.

**Note**  
La durée maximale de l'accès délégué est de 12 heures. Toutefois, les utilisateurs root ne peuvent approuver que les demandes de délégation d'une durée inférieure ou égale à 4 heures. Si une demande indique plus de 4 heures, vous devez utiliser une identité autre que root pour approuver la demande. Pour plus de détails, consultez la section [Fonctionnalité bêta de simulation des autorisations](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).

Pour les tâches en cours, telles que la lecture depuis un compartiment Amazon S3, les demandes de délégation peuvent inclure la création d'un rôle IAM qui permet un accès continu aux ressources et aux actions après l'expiration de l'accès temporaire. Les fournisseurs de produits doivent associer une limite d'autorisation à tout rôle IAM créé par le biais d'une délégation temporaire. Les limites d'autorisation limitent les autorisations maximales d'un rôle, mais n'accordent pas d'autorisations à elles seules. Vous pouvez consulter la limite d'autorisation dans le cadre de la demande avant de l'approuver. Pour plus de détails, consultez la section [Limites des autorisations](access_policies_boundaries.md).

Le processus fonctionne comme suit :

1. Vous vous connectez à un produit Amazon ou AWS partenaire pour l'intégrer à votre AWS environnement.

1. Le fournisseur du produit lance une demande de délégation en votre nom et vous redirige vers la console de AWS gestion.

1. Vous passez en revue les autorisations demandées et déterminez s'il convient d'approuver, de refuser ou de transmettre la demande à votre administrateur.

1. Une fois que vous ou votre administrateur avez approuvé la demande, le fournisseur du produit peut obtenir les informations d'identification temporaires de l'approbateur pour effectuer les tâches requises.

1. L'accès du fournisseur de produits expire automatiquement après la période spécifiée. Cependant, tout rôle IAM créé par le biais de la demande de délégation temporaire est conservé au-delà de cette période, ce qui permet au fournisseur du produit de continuer à accéder aux ressources et aux actions pour les tâches de gestion en cours.

![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/delegation-flow.png)


**Note**  
Vous ne pouvez déléguer des autorisations à un fournisseur de produits que si vous êtes autorisé à accéder aux services et aux actions inclus dans la demande de délégation temporaire. Si vous n'avez pas accès aux services et aux actions demandés, le fournisseur du produit ne reçoit pas ces autorisations lorsque vous approuvez la demande.

Si la vérification des autorisations indique qu'elle est susceptible de réussir, vous pouvez approuver la demande de délégation temporaire et poursuivre le flux de travail.

Si la vérification des autorisations indique que vous ne disposez peut-être pas des autorisations suffisantes, transmettez la demande à votre administrateur pour approbation. Nous vous recommandons d'informer votre administrateur de cette demande en utilisant la méthode que vous préférez, telle qu'un e-mail ou un ticket.

Une fois que votre administrateur a approuvé la demande, la suite dépend de la configuration du fournisseur du produit :
+ Si le fournisseur du produit a demandé un accès immédiat, il reçoit automatiquement des autorisations temporaires et la durée d'accès commence à courir.
+ Si le fournisseur du produit a demandé la libération par le propriétaire (destinataire initial), vous devez revenir à la demande de partage explicite de l'accès temporaire au compte avant le début de la durée d'accès. Les fournisseurs de produits utilisent généralement cette option lorsqu'ils ont besoin d'informations supplémentaires de votre part, telles que la sélection des ressources ou les détails de configuration, pour effectuer la tâche requise.

# Lancer une demande de délégation temporaire
<a name="temporary-delegation-initiate-request"></a>

Vous pouvez lancer une demande de délégation temporaire uniquement à partir de produits Amazon ou AWS partenaires compatibles. Au cours d'un flux de travail qui prend en charge la délégation temporaire, vous serez invité à accorder au fournisseur du produit des autorisations limitées temporaires pour configurer les AWS ressources requises dans votre compte. Cette approche automatisée fournit une expérience plus rationalisée en vous évitant de configurer ces ressources manuellement.

Vous pouvez consulter les détails des demandes de délégation, tels que les rôles, politiques et AWS services IAM spécifiques dont le fournisseur de produits a besoin avant d'accorder l'accès. Vous pouvez soit approuver la demande vous-même si vous disposez des autorisations suffisantes, soit la transmettre à l'administrateur de votre compte pour approbation. Tous les accès des fournisseurs de produits sont limités dans le temps et peuvent être surveillés et révoqués selon les besoins.

**Pour lancer une demande de délégation temporaire**

1. Accédez à la console d'un produit pris en charge par Amazon ou AWS ses partenaires qui nécessite une intégration à votre AWS compte.

1. Sélectionnez *Déployer avec délégation temporaire IAM*. Notez que le nom de l'option peut varier selon les produits pris en charge. Reportez-vous à la documentation du fournisseur du produit pour plus de détails.
**Note**  
Si vous n'êtes pas encore connecté à la console AWS de gestion, une nouvelle fenêtre s'ouvre sur la page de AWS connexion. Nous vous recommandons de vous connecter à votre AWS compte avant de lancer la demande de délégation temporaire depuis la console du produit. Pour plus d'informations sur la procédure de connexion en fonction de votre type d'utilisateur et des AWS ressources auxquelles vous souhaitez accéder, consultez le [guide de l'utilisateur de AWS connexion](docs---aws.amazon.com.rproxy.goskope.comsignin/latest/userguide/what-is-sign-in.html).

1. Vérifiez les détails de la demande pour confirmer le nom du produit et le AWS compte du fournisseur du produit. Vous pouvez également vérifier l' AWS identité que le fournisseur du produit utilisera pour effectuer des actions en votre nom.

1. Passez en revue les *détails d'accès* pour les autorisations qui seront temporairement déléguées en approuvant cette demande.
   + La section *Récapitulatif des autorisations* fournit une vue d'ensemble de haut niveau générée par l'IA qui peut vous aider à comprendre quelles catégories de AWS services sont accessibles et quels types d'actions peuvent être effectuées dans chaque service.
   + Choisissez *View JSON* pour consulter les autorisations spécifiques que le fournisseur du produit doit déployer dans votre AWS compte, notamment l'étendue d'accès et les limites de ressources.
   + Si le fournisseur du produit crée un rôle IAM dans le cadre d'une demande de délégation temporaire, une limite d'autorisation doit être attachée au rôle. Ces rôles IAM disposent d'autorisations qui continuent à autoriser l'accès aux ressources et aux actions après l'expiration de la durée d'accès demandée. Choisissez *Afficher les détails* pour passer en revue la limite d'autorisation, qui définit les autorisations maximales que le rôle peut avoir. Le fournisseur du produit appliquera des politiques supplémentaires au rôle lors de sa création afin de définir ses autorisations réelles. Ces politiques peuvent sembler plus ciblées ou plus larges que les limites, selon la façon dont le fournisseur du produit les définit. Cependant, la limite d'autorisation garantit que les autorisations effectives du rôle ne dépasseront jamais ce que vous voyez lors de l'approbation de la demande, quelles que soient les politiques associées au rôle. Pour plus d'informations, consultez la section [Limites des autorisations](access_policies_boundaries.md).

1. Passez en revue les résultats de la simulation des autorisations. La fonctionnalité de simulation des autorisations évalue automatiquement les autorisations de votre identité par rapport à celles incluses dans la demande. Sur la base de cette analyse, une recommandation s'affiche indiquant s'il convient d'approuver la demande avec votre identité actuelle ou de la transmettre à un administrateur. Pour plus de détails, consultez la section [Fonctionnalité bêta de simulation des autorisations](#temporary-delegation-permission-simulation).

1. Dans la boîte de dialogue, sélectionnez la manière dont vous souhaitez procéder.
   + Sélectionnez *Autoriser l'accès* lorsque votre identité dispose d'autorisations suffisantes pour permettre au fournisseur du produit d'effectuer les procédures d'intégration en votre nom. Lorsque vous sélectionnez cette option, la durée d'accès du fournisseur du produit commence une fois que vous avez fourni l'accès.
   + Sélectionnez *Demander une approbation* si votre identité ne dispose pas des autorisations suffisantes pour permettre au fournisseur du produit d'effectuer les procédures d'intégration en votre nom. Choisissez ensuite *Créer une demande d'approbation*. Lorsque vous sélectionnez cette option, un lien de demande de délégation temporaire est créé que vous pouvez partager avec l'administrateur de votre compte. Votre administrateur peut accéder à la console AWS de gestion ou utiliser le lien d'accès pour examiner les demandes de délégation temporaire afin d'approuver la demande et de partager l'accès temporaire avec le demandeur.

**Note**  
L'octroi de l'accès au fournisseur de produits nécessite deux actions : accepter la demande de délégation (`AcceptDelegationRequest`) et libérer le jeton d'échange (`SendDelegatedToken`). La console AWS de gestion exécute les deux étapes automatiquement lorsque vous approuvez une demande. Si vous utilisez l'API AWS CLI or, vous devez exécuter les deux étapes séparément.

## Fonctionnalité de simulation des autorisations -bêta
<a name="temporary-delegation-permission-simulation"></a>

Lorsque vous recevez une demande de délégation temporaire, vous pouvez l'approuver vous-même ou la transmettre à l'administrateur de votre compte pour approbation. Vous ne pouvez déléguer des autorisations à un fournisseur de produits que si vous êtes autorisé à accéder aux services et aux actions inclus dans la demande de délégation temporaire. Si vous n'avez pas accès aux services et aux actions demandés, le fournisseur du produit ne recevra pas ces autorisations, même si elles sont incluses dans la demande.

Par exemple, une demande de délégation temporaire nécessite la capacité de créer un compartiment Amazon S3, de démarrer et d'arrêter des instances dans Amazon EC2 et d'assumer un rôle IAM. L'identité qui approuve la demande peut démarrer et arrêter des instances dans Amazon EC2 et assumer un rôle IAM, mais n'est pas autorisée à créer un compartiment Amazon S3. Lorsque cette identité approuve la demande, le fournisseur du produit n'est pas en mesure de créer un compartiment Amazon S3 même si ces autorisations ont été incluses dans la demande de délégation temporaire.

Comme vous ne pouvez déléguer que les autorisations que vous possédez déjà, il est essentiel d'évaluer si vous disposez des autorisations demandées avant de les approuver. La fonctionnalité bêta de simulation des autorisations facilite cette évaluation en comparant vos autorisations à celles incluses dans la demande. L'évaluation indique si vous pouvez approuver la demande avec votre identité actuelle ou si vous devez la transmettre à un administrateur. Si l'analyse ne permet pas de confirmer que vous disposez des autorisations suffisantes, transmettez la demande à un administrateur pour examen. Cette évaluation est basée sur une analyse des autorisations simulée et peut différer de votre AWS environnement réel. Vérifiez donc attentivement les autorisations demandées avant de continuer.

## Étapes suivantes
<a name="temporary-delegation-next-steps"></a>

Après avoir lancé une demande de délégation temporaire, vous pouvez gérer et surveiller la demande tout au long de son cycle de vie. Les procédures suivantes vous permettent de suivre, d'approuver et de contrôler l'accès temporaire :
+ [Examiner les demandes de délégation temporaire](temporary-delegation-review-requests.md) : surveillez l'état de vos demandes d'accès et consultez des informations détaillées sur les demandes d'approbation ou de refus des demandes de délégation temporaire.
+ [Révoquer l'accès à la délégation temporaire](temporary-delegation-revoke-access.md) : mettez fin immédiatement aux sessions de délégation temporaires actives avant qu'elles n'expirent naturellement.

# Examiner les demandes de délégation temporaire
<a name="temporary-delegation-review-requests"></a>

Après avoir lancé une demande de délégation temporaire, vous pouvez surveiller, approuver et rejeter les demandes dans la console IAM. La page Demandes de délégation temporaire fournit une vue centralisée de toutes les demandes, y compris celles en attente d'approbation, terminées ou rejetées. En tant qu'administrateur, vous pouvez examiner ces demandes pour accorder aux fournisseurs de produits l'accès aux AWS ressources ou les rejeter en fonction des politiques de sécurité, des exigences commerciales ou des normes de conformité de votre organisation. Cette visibilité vous permet de suivre le cycle de vie de l'accès des fournisseurs de produits et de contrôler les autorisations temporaires.

**Note**  
Vous devez disposer de l'AcceptDelegationRequest autorisation iam : pour approuver les demandes de délégation temporaire.

**Pour approuver une demande de délégation temporaire**

1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à https://console.aws.amazon.com/iam/ l'adresse.

1. Dans le volet de navigation de gauche, sélectionnez *Demandes de délégation temporaires*.

1. La page principale affiche la liste de vos demandes de délégation temporaire avec les informations suivantes :
   + *ID de demande* — Identifiant unique de la demande
   + *État* — État actuel (En attente, approuvé, rejeté, partagé, expiré)
   + *Demandeur : fournisseur du produit associé à la demande*
   + *Initié par* : le responsable IAM du compte qui a initié la demande pour le fournisseur du produit
   + *Demande créée* — Quand la demande a été soumise
   + *Expiration de la demande : date* à laquelle la demande a expiré ou expirera

1. (Facultatif) Utilisez les options de filtrage pour afficher les demandes par statut :
   + *Toutes les demandes* — Consultez toutes vos demandes, quel que soit leur statut
   + *En attente* — Afficher les demandes en attente d'approbation de l'administrateur
   + *Approuvé* — Afficher les demandes approuvées
   + *Partagé* — Afficher les demandes pour lesquelles l'accès a été partagé
   + *Rejeté* — Afficher les demandes rejetées avec les raisons du rejet

1. Pour afficher des informations détaillées sur une demande spécifique ou pour examiner une demande d'approbation en attente, choisissez l'ID de la demande.

1. Consultez les informations détaillées de la demande :
   + Informations sur le fournisseur du produit
   + Motif et justification de la demande
   + Durée demandée
   +  AWS Autorisations demandées

1. Si vous êtes administrateur et que vous examinez une demande en attente, choisissez l'une des options suivantes :
   + Pour approuver la demande, choisissez *Approuver*. Dans la boîte de dialogue d'approbation, vous pouvez consulter les résultats de la simulation des autorisations. Pour plus d'informations, consultez la section [Fonctionnalité bêta de simulation des autorisations](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Après avoir confirmé la durée de l'accès et votre AWS identité, choisissez *Approuver* pour accorder l'accès. Si le fournisseur du produit demande un accès immédiat, il reçoit automatiquement des autorisations temporaires et la durée d'accès commence à courir. Sinon, informez la personne à l'origine de la demande de libérer l'accès au fournisseur du produit.
   + Pour rejeter la demande, choisissez *Refuser*.
     + Dans la boîte de dialogue de rejet, indiquez clairement le motif du rejet afin d'aider le demandeur à comprendre pourquoi sa demande a été refusée.
     + Choisissez *Refuser* pour refuser l'accès.

1. La liste des demandes est automatiquement actualisée pour afficher les informations d'état les plus récentes. Vous pouvez également actualiser manuellement la page pour vérifier les mises à jour de statut.

# Révoquer l'accès à la délégation temporaire
<a name="temporary-delegation-revoke-access"></a>

Bien que les sessions d'accès des fournisseurs de produits soient conçues pour expirer automatiquement après leur durée approuvée, vous devrez peut-être résilier immédiatement l'accès dans certaines situations. La révocation de l'accès actif au fournisseur de produits fournit un mécanisme de contrôle d'urgence lorsque des problèmes de sécurité surviennent, lorsque le travail du fournisseur de produits est terminé plus tôt que prévu ou lorsque les exigences commerciales changent. Les initiateurs de demandes et les administrateurs peuvent révoquer l'accès pour maintenir la sécurité et le contrôle opérationnel.

**Pour révoquer l'accès à une délégation temporaire**

1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à https://console.aws.amazon.com/iam/ l'adresse.

1. Dans le volet de navigation de gauche, choisissez *Demandes de délégation temporaires*.

1. Recherchez l'ID de demande pour la session d'accès que vous souhaitez révoquer.

1. Choisissez *Actions*, puis *Révoquer l'accès*.

1. Dans la boîte de dialogue, choisissez *Révoquer l'accès* pour confirmer que vous souhaitez mettre fin immédiatement à la session d'accès.

Après avoir révoqué l'accès, le fournisseur du produit ne pourra plus accéder à vos AWS ressources. La révocation est enregistrée à des AWS CloudTrail fins d'audit.

**Important**  
La révocation de l'accès met immédiatement fin à la session d'accès du fournisseur du produit. Tout travail ou processus en cours utilisant l'accès sera interrompu. Assurez-vous que la révocation ne perturbera pas les opérations critiques.

**Note**  
Vous ne pouvez pas révoquer l'accès pour les demandes approuvées par un utilisateur root. AWS recommande d'éviter d'utiliser un utilisateur root pour approuver les demandes de délégation. Utilisez plutôt un rôle IAM doté des autorisations appropriées.

## Gestion des autorisations pour les demandes de délégation
<a name="temporary-delegation-managing-permissions"></a>

Les administrateurs peuvent accorder aux principaux IAM des autorisations leur permettant de gérer les demandes de délégation des fournisseurs de produits. Cela est utile lorsque vous souhaitez déléguer le pouvoir d'approbation à des utilisateurs ou à des équipes spécifiques de votre organisation, ou lorsque vous devez contrôler qui peut effectuer des actions spécifiques sur les demandes de délégation.

Les autorisations IAM suivantes sont disponibles pour gérer les demandes de délégation :


| Autorisations | Description | 
| --- | --- | 
| iam : AssociateDelegationRequest | Associer une demande de délégation non attribuée à votre compte AWS  | 
| iam : GetDelegationRequest | Afficher les détails d'une demande de délégation | 
| iam : UpdateDelegationRequest | Transférer une demande de délégation à un administrateur pour approbation | 
| iam : AcceptDelegationRequest | Approuver une demande de délégation | 
| iam : SendDelegationToken | Communiquez le jeton d'échange au fournisseur du produit après approbation | 
| iam : RejectDelegationRequest | Refuser une demande de délégation | 
| iam : ListDelegationRequests | Répertoriez les demandes de délégation pour votre compte | 

**Note**  
Par défaut, les responsables IAM qui initient une demande de délégation sont automatiquement autorisés à gérer cette demande spécifique. Ils peuvent l'associer à leur compte, consulter les détails de la demande, rejeter une demande, la transmettre à un administrateur pour approbation, communiquer le jeton d'échange au fournisseur du produit après approbation de l'administrateur et répertorier les demandes de délégation dont ils sont propriétaires.

# Notifications
<a name="temporary-delegation-notifications"></a>

La délégation temporaire IAM s'intègre aux notifications AWS utilisateur pour vous aider à rester informé des modifications de l'état des demandes de délégation. Les notifications sont particulièrement utiles pour les administrateurs qui doivent examiner et approuver les demandes de délégation.

Grâce aux notifications AWS utilisateur, vous pouvez configurer les alertes à diffuser via plusieurs canaux, notamment le courrier électronique, Amazon Simple Notification Service (SNS), le AWS Chatbot pour Slack ou Microsoft Teams et l'Application Console Mobile. AWS Cela garantit que les bonnes personnes sont informées au bon moment, ce qui permet de répondre plus rapidement aux approbations en attente ou de prendre connaissance des modifications d'accès. Vous pouvez également personnaliser les événements qui déclenchent des notifications en fonction des besoins et des exigences de sécurité de votre organisation.

## Événements de notification disponibles
<a name="temporary-delegation-notification-events"></a>

Vous pouvez vous abonner pour recevoir des notifications concernant les événements de délégation temporaire IAM suivants :
+ Demande de délégation temporaire IAM créée
+ Demande de délégation temporaire IAM attribuée
+ Demande de délégation temporaire IAM en attente d'approbation
+ Demande de délégation temporaire IAM rejetée
+ Demande de délégation temporaire IAM acceptée
+ Demande de délégation temporaire IAM finalisée
+ Demande de délégation temporaire IAM expirée

## Configuration des notifications
<a name="temporary-delegation-configuring-notifications"></a>

Pour configurer les notifications pour les événements de délégation temporaire IAM :

1. Ouvrez la console de notifications AWS utilisateur

1. Création ou mise à jour d'une configuration de notification

1. Sélectionnez AWS IAM comme service

1. Choisissez les événements relatifs à la demande de délégation dont vous souhaitez être informé

1. Configurez vos canaux de diffusion (e-mail, AWS Chatbot, etc.)

Pour obtenir des instructions détaillées sur la configuration des notifications AWS utilisateur, y compris la configuration des canaux de diffusion et la gestion des règles de notification, consultez la documentation relative aux notifications AWS utilisateur.

# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Toutes les actions effectuées par les fournisseurs de produits à l'aide d'un accès délégué temporaire sont automatiquement enregistrées AWS CloudTrail. Cela fournit une visibilité et une auditabilité complètes de l'activité des fournisseurs de produits sur votre AWS compte. Vous pouvez identifier les actions entreprises par les fournisseurs de produits, le moment où elles se sont produites et le compte du fournisseur de produits qui les a effectuées.

Pour vous aider à faire la distinction entre les actions entreprises par vos propres responsables IAM et celles prises par les fournisseurs de produits disposant d'un accès délégué, les CloudTrail événements incluent un nouveau champ appelé `invokedByDelegate` sous l'`userIdentity`élément. Ce champ contient l'identifiant de AWS compte du fournisseur du produit, ce qui permet de filtrer et d'auditer facilement toutes les actions déléguées.

## CloudTrail Structure de l'événement
<a name="temporary-delegation-cloudtrail-event-structure"></a>

L'exemple suivant montre un CloudTrail événement lié à une action effectuée par un fournisseur de produits à l'aide d'un accès délégué temporaire :

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

Le `invokedByDelegate` champ contient l'identifiant de AWS compte du fournisseur du produit qui a effectué l'action à l'aide de l'accès délégué. Dans cet exemple, le compte 444455556666 (le fournisseur du produit) a effectué une action dans le compte 111122223333 (le compte client).

# Délégation temporaire de l'IAM pour les partenaires AWS
<a name="access_policies-temporary-delegation-partner-guide"></a>

## Présentation de
<a name="temporary-delegation-partner-overview"></a>

La délégation temporaire IAM permet aux AWS clients d' and/or intégrer facilement les produits AWS partenaires dans leur AWS environnement grâce à des flux de travail interactifs et guidés. Les clients peuvent accorder aux AWS partenaires un accès temporaire limité pour configurer les AWS services requis, réduisant ainsi les difficultés liées à l'intégration et accélérant le délai de rentabilisation.

La délégation temporaire IAM permet aux partenaires de :
+ Simplifiez l'intégration des clients grâce au provisionnement automatisé des ressources
+ Réduisez la complexité de l'intégration en éliminant les étapes de configuration manuelles
+ Instaurez la confiance grâce à des autorisations transparentes approuvées par le client
+ Activez les opérations continues avec des modèles d'accès à long terme en utilisant des limites d'autorisation

## Comment ça marche
<a name="temporary-delegation-how-it-works"></a>

1. *Le partenaire crée une demande de délégation* - Les partenaires créent une demande en spécifiant les autorisations dont ils ont besoin et pour combien de temps

1. *Avis clients dans AWS la console* : le client voit exactement quelles autorisations le partenaire demande et pourquoi

1. *Approbation* du client : le client approuve la demande et libère un jeton d'échange. Le jeton est envoyé au partenaire sur cette rubrique SNS spécifiée.

1. *Le partenaire reçoit des informations d'identification temporaires* - Les partenaires échangent le jeton contre des AWS informations d'identification temporaires

1. Le *partenaire configure les ressources* - Les partenaires utilisent les informations d'identification pour configurer les ressources requises dans le compte du client

## Qualification des partenaires
<a name="temporary-delegation-partner-qualification"></a>

Pour bénéficier de l'intégration par délégation temporaire, un partenaire doit satisfaire aux exigences suivantes :
+ *Participation à ISV Accelerate* — Vous devez être inscrit au programme [ISV Accelerate (ISVA](https://aws.amazon.com/partners/programs/isv-accelerate/)).
+ AWS Mise en *vente sur le Marketplace* : votre produit doit être mis en AWS vente sur le Marketplace avec un badge «  AWS Deployed on ».

## Processus d'intégration
<a name="temporary-delegation-onboarding-process"></a>

Procédez comme suit pour intégrer la délégation temporaire dans votre produit :

1. *Étape 1 : Réviser les exigences*

   Consultez cette documentation pour comprendre les exigences de qualification et remplissez le questionnaire destiné aux partenaires ci-dessous.

1. *Étape 2 : Soumettez votre demande d'intégration*

   Envoyez un e-mail à aws-iam-partner-onboarding @amazon .com ou contactez votre AWS représentant. Incluez votre questionnaire destiné aux partenaires dûment rempli avec tous les champs obligatoires du tableau ci-dessous.

1. *Étape 3 : AWS validation et révision*

   AWS sera :
   + Validez que vous répondez aux critères de qualification
   + Passez en revue vos modèles de politiques et vos limites d'autorisation
   + Donnez votre avis sur les artefacts que vous avez soumis

1. *Étape 4 : Affinez vos politiques*

   Répondez aux AWS commentaires et soumettez des modèles de politiques ou des limites d'autorisation mis à jour selon les besoins.

1. *Étape 5 : Compléter l'enregistrement*

   Une fois approuvé, AWS il devra :
   + Activez l'accès à l'API pour les comptes que vous avez spécifiés
   + Partagez ARNs pour votre modèle de politique et votre limite d'autorisations (le cas échéant)

   Vous recevrez une confirmation lorsque l'intégration sera terminée. Vous pouvez ensuite accéder à la délégation temporaire APIs, CreateDelegationRequest GetDelegatedAccessToken depuis vos comptes enregistrés, et commencer à intégrer les flux de travail des demandes de délégation dans votre produit.

## Questionnaire aux partenaires
<a name="temporary-delegation-partner-questionnaire"></a>

Le tableau suivant répertorie les informations requises pour l'intégration des partenaires :


| Informations | Description | Obligatoire | 
| --- | --- | --- | 
| Partner Central AccountID | Numéro de compte de votre AWS compte enregistré sur [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Oui | 
| PartnerId | ID de partenaire fourni par [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Non | 
| AWS Identifiant du produit Marketplace | Identifiant de produit pour votre produit fourni par [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Oui | 
| AWS accountIDs | La liste de votre AWS compte IDs que vous souhaitez utiliser pour appeler la délégation temporaire APIs. Cela doit inclure à la fois vos comptes de production et vos comptes hors production/test. | Oui | 
| Nom du partenaire | Ce nom est affiché aux clients dans la console AWS de gestion lorsqu'ils examinent votre demande de délégation temporaire. | Oui | 
| Email (s) de contact | Une ou plusieurs adresses e-mail que nous pouvons utiliser pour vous contacter au sujet de votre intégration. | Oui | 
| Domaine du demandeur | Votre domaine (par exemple, www.example.com) | Oui | 
| Description de l'intégration | Brève description du cas d'utilisation que vous souhaitez traiter à l'aide de cette fonctionnalité. Vous pouvez inclure des liens de référence vers votre documentation ou d'autres documents publics. | Oui | 
| Diagramme d’architecture | Schéma d'architecture illustrant vos cas d'utilisation de l'intégration. | Non | 
| Modèle de stratégie | Vous devez enregistrer au moins un modèle de politique pour cette fonctionnalité. Le modèle de politique définit les autorisations temporaires que vous souhaitez demander pour les AWS comptes des clients. Pour plus d'informations, consultez la section Modèle de politique. | Oui | 
| Nom du modèle de politique | Nom du modèle de politique que vous souhaitez enregistrer. | Oui | 
| Limite d'autorisations | Si vous souhaitez créer des rôles IAM dans les comptes des clients à l'aide d'autorisations temporaires, vous devez enregistrer une limite d'autorisation auprès d'IAM. Des limites d'autorisation seront associées aux rôles IAM que vous créez afin de limiter le nombre maximum d'autorisations sur le rôle. Vous pouvez utiliser les politiques AWS gérées sélectionnées comme limite d'autorisation ou enregistrer une nouvelle limite d'autorisation personnalisée (JSON). Pour plus d'informations, consultez la section Limite des autorisations. | Non | 
| Nom de la limite d'autorisation | Le nom de votre limite d'autorisation. <partner\$1domain><policy\$1name><date>Le format est le suivant : arn:aws:iam : :partner:policy/permission\$1boundary//\$1 Le nom de la politique doit inclure la date de création sous forme de suffixe. Le nom ne peut pas être mis à jour une fois la limite d'autorisation créée. Si vous utilisez une stratégie AWS gérée existante, fournissez plutôt l'ARN de la politique gérée. | Non | 
| Description des limites d'autorisation | Description de la limite d'autorisation. Cette description ne peut pas être mise à jour une fois la limite d'autorisation créée. | Non | 

# Comprendre votre intégration
<a name="temporary-delegation-understanding-integration"></a>

Une fois le processus d'intégration terminé, vous pouvez créer votre intégration avec la délégation temporaire IAM. Une intégration complète implique généralement trois grandes catégories de travail :

## 1. Expérience utilisateur et conception du flux de travail
<a name="temporary-delegation-user-experience"></a>

Créez une expérience frontale dans l'application partenaire qui guide les clients tout au long du flux de travail de délégation temporaire. La candidature du partenaire doit :
+ Présentez un flux d'intégration ou de configuration clair dans lequel les clients peuvent accorder un accès temporaire. Étiquetez clairement cette action, par exemple « Déployer avec délégation temporaire IAM ».
+ Redirigez les clients vers la console de AWS gestion pour examiner et approuver la demande de délégation à l'aide du lien de console renvoyé par l' CreateDelegationRequest API
+ Fournissez un message approprié expliquant quelles autorisations sont demandées et pourquoi. Les clients peuvent voir ce message sur la page de détails de la demande de délégation.
+ Gérez le retour du client à votre demande une fois qu'il a terminé l'approbation en AWS.

## 2. Intégration d'API
<a name="temporary-delegation-api-integration"></a>

Utilisez la délégation temporaire IAM APIs pour envoyer et gérer les demandes de délégation. Une fois vos AWS comptes enregistrés, vous pouvez accéder aux éléments suivants APIs :
+ *IAM CreateDelegationRequest* — Crée une demande de délégation pour le AWS compte d'un client. Cette API renvoie un lien de console vers lequel vous redirigez les clients pour qu'ils examinent et approuvent la demande.
+ *AWS STS GetDelegatedAccessToken*— Récupère les AWS informations d'identification temporaires une fois qu'un client a approuvé votre demande de délégation. Utilisez ces informations d'identification pour effectuer des actions sur le compte du client.

Votre intégration doit gérer le cycle de vie complet des demandes de délégation, y compris la création des demandes, le suivi de leur statut et la récupération des informations d'identification temporaires une fois approuvées.

## 3. Configuration et orchestration des ressources
<a name="temporary-delegation-resource-configuration"></a>

Une fois que vous avez obtenu des informations d'identification temporaires, orchestrez les flux de travail nécessaires pour configurer les ressources du AWS compte du client. Cela peut inclure :
+ Appeler APIs directement le AWS service pour créer et configurer des ressources
+ Déploiement de l'infrastructure à l' AWS CloudFormation aide
+ Création de rôles IAM pour un accès continu (nécessite l'utilisation de limites d'autorisation)

Votre logique d'orchestration doit être idempotente et gérer les défaillances avec élégance, car les clients peuvent avoir besoin de réessayer ou de modifier leurs approbations de délégation.

# Comprendre les autorisations
<a name="temporary-delegation-understanding-permissions"></a>

Dans le cadre du processus d'intégration des fonctionnalités, vous devrez enregistrer des politiques auprès d'IAM qui définissent les autorisations que vous souhaitez demander pour les comptes des clients AWS . Le processus d'enregistrement fournit une expérience plus cohérente aux clients et permet d'éviter les écueils courants lors de la rédaction de politiques.

Lors de l'inscription, AWS évalue vos politiques par rapport à un ensemble de validations. Ces validations visent à normaliser le format et la structure des politiques et à fournir des protections de base contre les anti-modèles connus. Les validations réduisent également le risque d'augmentation des privilèges, d'accès croisé involontaire et d'accès étendu à des ressources de grande valeur dans les comptes clients.

## Types d'autorisations
<a name="temporary-delegation-permission-types"></a>

AWS prendra en compte deux catégories d'autorisations : les autorisations temporaires et les autorisations à long terme.

### Autorisations temporaires
<a name="temporary-delegation-temporary-permissions"></a>

Les autorisations temporaires limitent les autorisations attribuées à toute session d'accès délégué temporaire. Les autorisations temporaires sont décrites dans les modèles de politique appliqués à la session déléguée. Les modèles prennent en charge les paramètres que vous fournissez lorsque vous créez une demande de délégation. Ces valeurs de paramètres sont ensuite liées à la session. Les autorisations temporaires fonctionnent de la même manière que les politiques de session disponibles AWS STS aujourd'hui : les politiques limitent les capacités de l'utilisateur sous-jacent, mais n'accordent aucun accès supplémentaire. Pour plus d'informations, consultez la AWS STS documentation sur les politiques de session.

### Autorisations à long terme
<a name="temporary-delegation-long-term-permissions"></a>

Les autorisations à long terme limitent les autorisations de tous les rôles créés ou gérés via un accès temporaire. Les autorisations à long terme sont mises en œuvre sous forme de limites d'autorisations IAM. Vous pouvez soumettre une ou plusieurs limites d'autorisation dans AWS le cadre de l'intégration. Une fois approuvé, AWS il partagera avec vous un ARN de politique que vous pourrez référencer dans vos politiques.

Ces politiques de délimitation présentent deux caractéristiques remarquables. Tout d'abord, ils sont immuables. Si vous souhaitez mettre à jour les autorisations, vous pouvez enregistrer une nouvelle limite d'autorisations. Vous pouvez ensuite associer la nouvelle limite d'autorisations aux rôles de vos clients en envoyant une nouvelle demande de délégation. Deuxièmement, les politiques ne sont pas modélisées. Étant donné que la même politique de limites est partagée dans le monde entier, elle ne peut pas être modifiée pour chaque client.

**Important**  
Les limites d'autorisation ont une taille maximale de 6 144 caractères.

**Note**  
Si vous souhaitez mettre à jour une limite d'autorisation ou un modèle de politique, contactez IAM à l'adresse aws-iam-partner-onboarding @amazon .com. Une fois la nouvelle limite d'autorisation enregistrée, vous pouvez envoyer une demande de délégation aux clients pour mettre à jour le rôle IAM et joindre la nouvelle limite d'autorisation enregistrée. Consultez la section Exemples pour plus de détails.

## Exemple de cas d'utilisation : charge de travail liée au traitement des données
<a name="temporary-delegation-example-use-case"></a>

Prenons l'exemple d'un fournisseur de produits qui gère une charge de travail de traitement des données dans les comptes clients. Le fournisseur doit mettre en place une infrastructure lors de l'intégration initiale, mais il a également besoin d'un accès continu pour gérer la charge de travail.

*Autorisations temporaires (pour la configuration initiale) :*
+ Création d' EC2 instances Amazon, de VPC et de groupes de sécurité
+ Création d'un compartiment Amazon S3 pour les données traitées
+ Création d'un rôle IAM pour les opérations en cours
+ Associer une limite d'autorisation au rôle IAM

*Autorisations à long terme (rôle IAM avec limite d'autorisation pour les opérations en cours) :*
+ Démarrer et arrêter les EC2 instances Amazon pour exécuter des tâches de traitement
+ Lire les données d'entrée depuis le compartiment Amazon S3
+ Écrire les résultats traités dans le compartiment Amazon S3

Les autorisations temporaires sont utilisées une seule fois lors de l'intégration pour configurer l'infrastructure. Le rôle IAM créé au cours de ce processus possède une limite d'autorisation qui limite ses autorisations maximales aux seules opérations nécessaires à la gestion continue de la charge de travail. Cela garantit que même si les politiques du rôle sont modifiées, celui-ci ne peut pas dépasser les autorisations définies dans la limite.

# Directives pour l'évaluation des politiques
<a name="temporary-delegation-policy-evaluation-guidelines"></a>

AWS évaluera les politiques que vous avez soumises par rapport à un ensemble de directives. Les mêmes directives d'évaluation s'appliquent à la fois aux modèles de politiques et aux limites d'autorisation, des différences mineures étant notées le cas échéant.

À des fins d'évaluation, nous séparons les services en groupes distincts. La distinction la plus importante concerne les services sensibles à la sécurité, qui gèrent l'accès, les informations d'identification et les clés. Les politiques garantissant l'accès à ces services doivent être étroitement axées sur le travail effectué. Les services sensibles en termes de sécurité incluent les suivants : AWS Identity and Access Management (IAM) AWS , Key Management Service (KMS), Resource Access AWS Manager (RAM), AWS IAM Identity Center, AWS Organizations et Secrets Manager. AWS 

Une distinction secondaire concerne les services qui peuvent accéder aux données au-delà des limites du compte. Les politiques relatives à ces services doivent inclure des protections pour empêcher tout accès involontaire entre comptes.

## Validations communes
<a name="temporary-delegation-common-validations"></a>

Toutes les déclarations de politique doivent suivre les directives suivantes :
+ Toutes les déclarations doivent inclure les champs Effet, Action (ou NotAction), Ressource et Condition dans cet ordre
+ Toutes les actions contenues dans une seule déclaration doivent être répertoriées par ordre alphabétique
+ Tous les éléments ARNs inclus dans la politique doivent suivre la syntaxe définie dans la documentation publique pour les services concernés
+ NotAction les champs ne peuvent être utilisés que dans les instructions Deny
+ Les actions figurant dans les instructions Allow doivent inclure un code de service. Les caractères génériques (« \$1 ») ne sont pas autorisés

## Restrictions relatives aux services sensibles à la sécurité
<a name="temporary-delegation-security-sensitive-restrictions"></a>

Les restrictions suivantes s'appliquent aux services sensibles à la sécurité mentionnés ci-dessus :
+ Les actions dans les instructions Allow doivent être plus spécifiques que dans [service] :\$1
+ Les actions figurant dans les instructions Allow pour les modèles de politique d'accès temporaire ne doivent pas contenir de caractères génériques
+ Les actions sensibles, telles que iam : PassRole ou iam :CreateServiceLinkedRole, nécessitent un périmètre supplémentaire, tel que des ressources spécifiques ou des contrôles conditionnels. Ces actions incluent :
  + Transfert de rôle IAM
  + Actions de modification du rôle IAM
  + Actions de modification de la politique IAM
  + AWS Opérations d'écriture ou de chiffrement KMS
  + AWS Opérations d'écriture ou de partage de RAM
  + AWS Opérations du Gestionnaire de secrets pour récupérer ou modifier des secrets, ou modifier des politiques de ressources
+ D'autres actions peuvent utiliser une ressource générique, telle que iam : ListUsers ou iam : GetPolicy
+ Les actions qui gèrent les informations d'identification, telles que iam :CreateAccessKey, sont bloquées

## Restrictions spécifiques à l'IAM
<a name="temporary-delegation-iam-specific-restrictions"></a>

Pour IAM :
+ Seules des opérations d'écriture limitées sont autorisées pour les rôles et les politiques IAM. Vous ne pouvez pas demander d'autorisations sur d'autres ressources IAM telles que les utilisateurs, les groupes et les certificats.
+ Les actions d'attachement aux politiques ou de gestion des politiques en ligne sont limitées aux rôles dotés d'une limite d'autorisation. Les limites d'autorisation doivent être fournies par le partenaire ou figurer sur une liste de politiques AWS gérées autorisées. AWS les politiques gérées peuvent être autorisées si elles n'accordent pas d'autorisations hautement privilégiées ou administratives. Par exemple, les politiques AWS gérées pour des fonctions professionnelles spécifiques ou la SecurityAudit politique peuvent être acceptables. AWS examinera chaque politique AWS gérée sur une case-by-case base spécifique au cours du processus d'intégration.
+ La gestion des politiques n'est autorisée que pour les politiques ayant un chemin spécifique au partenaire : arn:aws:iam : :@ \$1\$1 :policy/partner\$1domain.com/ [feature] \$1 AccountId
+ Les balises ne peuvent être appliquées que lors de la création de ressources, et uniquement pour les rôles et les politiques
+ iam : PassRole les chèques doivent correspondre à un nom ou à un préfixe de chemin spécifique

## AWS STS-restrictions spécifiques
<a name="temporary-delegation-sts-specific-restrictions"></a>

Pour AWS STS :
+ sts : AssumeRole doit être limité à un rôle (ARN), à un préfixe d'ARN de rôle spécifique, ou limité à un ensemble de comptes ou à une unité organisationnelle ID/organizational 

## Restrictions relatives au centre d'identité IAM
<a name="temporary-delegation-identity-center-restrictions"></a>

Pour AWS IAM Identity Center, les actions suivantes sont bloquées :
+ Toutes les actions relatives à la gestion des autorisations (par exemple, sso :AttachCustomerManagedPolicyReferenceToPermissionSet)
+ Modifications apportées aux utilisateurs, aux groupes et aux membres pour AWS Identity Store
+ Gestion des balises

## AWS Organisations : restrictions
<a name="temporary-delegation-organizations-restrictions"></a>

Pour AWS les Organisations, seules les actions de lecture seront autorisées.

## Validations supplémentaires spécifiques au service
<a name="temporary-delegation-additional-service-validations"></a>
+ Les actions qui acquièrent des secrets ou des informations d'identification, telles que glue : GetConnection ou redshift :GetClusterCredentials, doivent avoir des conditions correspondant à la totalité ARNs, aux préfixes ARN ou aux balises
+ Pour Amazon Redshift : redshift : n'GetClusterCredentials est autorisé que sur un nom de base de données spécifique, et redshift : GetClusterCredentialsWith IAM n'est autorisé que sur un nom de groupe de travail spécifique

**Note**  
Lorsque vous gérez les ressources IAM du compte, nous vous recommandons d'utiliser un chemin indiquant votre nom, par exemple arn:aws:iam : :111122223333 :. role/partner.com/rolename Cela permettra de différencier les ressources associées à votre intégration et de faciliter la découverte, l'audit et l'analyse pour les clients.

## Exigences relatives à l'accès entre comptes
<a name="temporary-delegation-cross-account-requirements"></a>

Les instructions susceptibles d'autoriser l'accès entre comptes doivent inclure au moins l'un des éléments suivants :
+ Une condition spécifiant le compte ou l'organisation de la ressource (par exemple, aws : ResourceOrgId correspondant à une ou plusieurs valeurs attendues)
+ Un champ de ressource qui inclut un compte spécifique (par exemple, arn:aws:sqs : \$1:111122223333 : \$1)
+ Un champ de ressource qui inclut un compte non générique et le nom complet de la ressource (par exemple, arn:aws:s3 : full-bucket-name

**Note**  
L'accès entre comptes est une fonctionnalité sensible qui nécessite une justification commerciale claire. AWS examinera attentivement la nécessité d'un accès entre comptes lors du processus d'intégration.

# Modèles de politique 
<a name="temporary-delegation-policy-templates"></a>

Les modèles de politique sont une nouvelle structure IAM conçue pour définir les autorisations temporaires que les partenaires demandent sur les comptes des clients. À l'instar des politiques IAM classiques, elles définissent les autorisations à l'aide d'instructions comportant des éléments Effect, Action, Resource et Condition. La principale différence réside dans le fait que les modèles de politique incluent des paramètres (tels que @ \$1bucketName\$1) qui sont remplacés par des valeurs réelles lorsque vous créez une demande de délégation.

## Comment fonctionnent les modèles de politiques
<a name="temporary-delegation-how-policy-templates-work"></a>

Dans le cadre du processus d'intégration, vous enregistrez vos modèles de politiques auprès AWS de. AWS attribue à chaque modèle un ARN unique auquel vous faites référence lors de la création de demandes de délégation.

Lorsque vous créez une demande de délégation, vous spécifiez :
+ Le modèle de politique (ARN)
+ Valeurs de paramètres à substituer dans le modèle

AWS combine le modèle avec les valeurs de vos paramètres pour générer une politique IAM standard. Les clients examinent cette politique de rendu final lorsqu'ils approuvent votre demande de délégation, afin de savoir exactement quelles autorisations seront accordées.

**Note**  
La politique de rendu final a une limite de taille maximale de 2 048 caractères.

Voici un exemple simple illustrant le fonctionnement de la substitution de modèles.

Modèle de politique :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Paramètres fournis dans la demande de délégation :

```
{
    "Name": "bucketName",
    "Values": ["customer-data-bucket"],
    "Type": "String"
}
```

Politique de rendu final (ce que voient les clients) :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::customer-data-bucket/*"
        }
    ]
}
```

## Syntaxe du modèle
<a name="temporary-delegation-template-syntax"></a>

Les modèles de politique utilisent deux fonctionnalités clés pour apporter de la flexibilité : la substitution de paramètres et les instructions conditionnelles. La substitution de paramètres vous permet de définir des espaces réservés dans votre modèle qui sont remplacés par des valeurs réelles lors de la création d'une demande de délégation. Les instructions conditionnelles vous permettent d'inclure ou d'exclure des déclarations de politique complètes en fonction des valeurs des paramètres.

### Substitution de paramètres et types
<a name="temporary-delegation-parameter-substitution"></a>

Utilisez la syntaxe @ \$1parameterName\$1 pour définir les paramètres de votre modèle de politique. Lorsque vous créez une demande de délégation, vous devez spécifier le type de chaque paramètre.

#### String
<a name="temporary-delegation-string-type"></a>

Une valeur unique qui est substituée directement dans le modèle.

Modèle :

```
"Resource": "arn:aws:s3:::@{bucketName}/*"
```

Paramètres :

```
{
    "Name": "bucketName",
    "Values": ["my-bucket"],
    "Type": "String"
}
```

Résultat rendu :

```
"Resource": "arn:aws:s3:::my-bucket/*"
```

#### StringList
<a name="temporary-delegation-stringlist-type"></a>

Plusieurs valeurs qui génèrent plusieurs entrées de ressources. Lorsqu'un StringList paramètre est utilisé dans un ARN de ressource, il se développe pour créer des entrées de ressource distinctes pour chaque valeur.

Modèle :

```
"Resource": "arn:aws:s3:::@{bucketNames}/*"
```

Paramètres :

```
{
    "Name": "bucketNames",
    "Values": ["bucket-1", "bucket-2"],
    "Type": "StringList"
}
```

Résultat rendu :

```
"Resource": [
    "arn:aws:s3:::bucket-1/*",
    "arn:aws:s3:::bucket-2/*"
]
```

#### Comportement entre produits
<a name="temporary-delegation-cross-product-behavior"></a>

Lorsque plusieurs paramètres sont utilisés dans le même ARN de ressource, StringList les paramètres créent un produit croisé de toutes les combinaisons.

Modèle :

```
"Resource": "arn:aws:s3:::@{bucketNames}/@{prefix}/*"
```

Paramètres :

```
[
    {
        "Name": "bucketNames",
        "Values": ["bucket-1", "bucket-2"],
        "Type": "StringList"
    },
    {
        "Name": "prefix",
        "Values": ["data"],
        "Type": "String"
    }
]
```

Résultat rendu :

```
"Resource": [
    "arn:aws:s3:::bucket-1/data/*",
    "arn:aws:s3:::bucket-2/data/*"
]
```

### Déclarations conditionnelles
<a name="temporary-delegation-conditional-statements"></a>

Utilisez la directive @Enabled pour inclure ou exclure de manière conditionnelle des instructions complètes en fonction des valeurs des paramètres.

Syntaxe :
+ @Enabled : « ParameterName » - Inclut l'instruction lorsque la valeur du paramètre est « True »
+ @Enabled : « \$1 ParameterName » - Inclut l'instruction lorsque la valeur du paramètre n'est PAS « vraie » (négation)

Modèle :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "@Enabled": "ENABLE_S3_WRITE",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Paramètres (lorsque ENABLE\$1S3\$1WRITE est « True ») :

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["True"],
        "Type": "String"
    }
]
```

Résultat rendu :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}
```

Paramètres (lorsque ENABLE\$1S3\$1WRITE est « False ») :

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["False"],
        "Type": "String"
    }
]
```

Résultat rendu :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        }
    ]
}
```

Lorsque ENABLE\$1S3\$1WRITE est défini sur « True », l'instruction conditionnelle est incluse. Lorsqu'elle est définie sur « False », l'instruction est exclue de la politique rendue.

## Exemples supplémentaires
<a name="temporary-delegation-additional-examples"></a>

Les exemples suivants illustrent les modèles courants d'utilisation des modèles de politique dans le cadre d'une délégation temporaire. Ils se concentrent sur la création de rôles IAM avec des limites d'autorisation pour un accès à long terme et présentent différentes stratégies pour définir les autorisations accordées à des ressources spécifiques. Ces exemples montrent comment trouver un équilibre entre flexibilité et sécurité en utilisant des techniques telles que les préfixes ARN, le balisage des ressources et les mises à jour des limites d'autorisation.

### Exemple 1 : Octroi d'un accès à long terme à des ressources spécifiques
<a name="temporary-delegation-example-1"></a>

La limite d'autorisation suivante est soumise en tant que « SQSAccessor limite » pour « partner.com » :

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

**Note**  
Cela inclut une condition relative au même compte afin d'éviter d'accorder l'accès aux files d'attente d'autres comptes soumis à des politiques de ressources ouvertes. Une référence directe à l'identifiant de compte du client ne peut pas être incluse car la limite est partagée entre tous les clients et ne peut pas être modélisée.

Comme il s'agit de la première version de cette politique, son ARN est arn:aws:iam : :partner : \$12025\$101\$115 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Le modèle de politique suivant est soumis pour les autorisations d'accès temporaires :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:ListQueues"
            ],
            "Resource": "arn:aws:sqs:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

### Exemple 2 : Utilisation des préfixes ARN
<a name="temporary-delegation-example-2"></a>

La limite d'autorisation peut spécifier un préfixe ARN de ressource pour limiter l'accès :

```
"Resource": "arn:aws:sqs:*:@{AccountId}:PartnerPrefix*"
```

Cela limite l'accès aux seules ressources portant ce préfixe, réduisant ainsi la portée des ressources accessibles.

### Exemple 3 : Utilisation de balises pour le contrôle d'accès aux ressources
<a name="temporary-delegation-example-3"></a>

Vous pouvez étiqueter des ressources lors d'un accès délégué temporaire et vous fier à ces balises pour un contrôle d'accès à long terme.

Limite d'autorisation autorisant l'accès aux ressources étiquetées :

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:ResourceTag/ManagedByPartnerDotCom": "false"
        },
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Modèle de politique pour étiqueter les nouvelles files d'attente lors de leur création :

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:CreateQueue",
        "sqs:TagQueue"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:RequestTag/ManagedByPartnerDotCom": "false"
        }
    }
}
```

Modèle de politique pour étiqueter les files d'attente préexistantes et créer le rôle :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:TagQueue"
            ],
            "Resource": "arn:aws:sqs:*:@{AccountId}:@{QueueName}",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "ManagedByPartnerDotCom"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

Cette approche permet aux clients de confirmer explicitement quelles ressources spécifiques sont accessibles à long terme.

### Exemple 4 : mise à jour de la limite d'autorisation
<a name="temporary-delegation-example-4"></a>

Pour mettre à jour une limite d'autorisation, enregistrez une nouvelle version avec un nouveau suffixe de date et demandez l'autorisation de la remplacer.

Limite d'autorisation mise à jour avec autorisation supplémentaire :

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:PurgeQueue",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

En tant que deuxième version, cette politique possède l'ARN : arn:aws:iam : :partner : \$12025\$101\$120 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Modèle de politique pour mettre à jour la limite d'autorisation pour le rôle existant :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePermissionsBoundary"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_20"
                }
            }
        }
    ]
}
```

Les clients doivent approuver cette demande de délégation pour mettre à jour la limite d'autorisation du rôle existant.

# Construire votre intégration
<a name="temporary-delegation-building-integration"></a>

## Comprendre le cycle de vie des demandes
<a name="temporary-delegation-request-lifecycle"></a>

Avant de créer votre intégration, il est important de comprendre comment les demandes de délégation progressent de leur création à leur réalisation.

### États de la demande
<a name="temporary-delegation-request-states"></a>

Une demande de délégation passe par les états suivants :


| State | Description | 
| --- | --- | 
| Non attribué | Demande créée mais pas encore associée à un compte client et à un principal IAM. La demande peut avoir été créée sans spécifier de compte cible, ou avec un identifiant de compte cible mais n'a pas encore été réclamée par le propriétaire du compte. | 
| Attribué | Demande associée à un compte client et en attente d'examen | 
| En attente d'approbation | Le client a transmis la demande à un administrateur pour approbation | 
| Acceptée | Demande approuvée par le client mais le jeton d'échange n'a pas encore été publié | 
| Finalisé | Jeton d'échange communiqué au fournisseur du produit. La période de délégation (validité du jeton d'échange) commence lorsque la demande atteint l'état finalisé | 
| Refusée | Demande rejetée par le client | 
| Expiré | Demande expirée en raison d'une inactivité ou d'un délai d'attente | 

### Transitions entre États
<a name="temporary-delegation-state-transitions"></a>

*Flux normal (voie d'approbation)*
+ Non attribué → Assigné : le client associe la demande à son compte
+ Assigné → Accepté OU attribué → En attente d'approbation : le client approuve la demande directement OU la transmet à l'administrateur pour examen
+ En attente d'approbation → Acceptée : l'administrateur approuve la demande
+ Accepté → Finalisé : le client libère le jeton d'échange

*Voie de rejet*
+ Attribué → Rejeté : le client rejette la demande
+ En attente d'approbation → Rejeté : l'administrateur rejette la demande
+ Accepté → Rejeté : le client révoque son approbation avant de libérer le jeton

*Chemin d'expiration*

Les demandes expirent automatiquement si aucune action n'est entreprise dans le délai spécifié :
+ Non attribué → Expiré (1 jour)
+ Assigné → Expiré (7 jours)
+ En attente d'approbation → Expiré (7 jours)
+ Accepté → Expiré (7 jours)
+ Rejeté → Expiré (7 jours)
+ Finalisé → Expiré (7 jours)

*États du terminal*

Les états suivants sont terminaux (aucune autre transition) :
+ Finalisé : jeton d'échange envoyé
+ Rejeté : la demande a été refusée
+ Expiré : demande expirée ou période de délégation terminée

Les demandes expirées sont finalement supprimées du système après la période de conservation.

### Gestion des états des demandes de délégation dans votre application
<a name="temporary-delegation-managing-states"></a>

En tant que partenaire, vous devez suivre l'état des demandes de délégation dans votre système et les communiquer à vos clients. Lorsque vous recevez des notifications SNS concernant des changements d'état, stockez ces mises à jour dans votre backend et reflétez-les dans votre interface utilisateur destinée aux clients. Portez une attention particulière à l'état En attente d'approbation : lorsqu'un client transmet une demande à un administrateur pour examen, il vous AWS envoie une notification en attente d'approbation. Les demandes peuvent rester dans cet état jusqu'à 7 jours en attendant l'intervention de l'administrateur. Pendant ce temps, montrez aux clients que leur demande est en attente de l'approbation de l'administrateur dans votre application. Envisagez de fournir un lien profond vers la AWS console où les clients peuvent vérifier l'état de la demande ou effectuer un suivi auprès de leur administrateur. Pour une bonne expérience d'intégration, il est important de gérer correctement la machine d'état dans votre backend et de communiquer les informations d'état correctes aux clients à chaque étape.

![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/delegation-states.png)


## Configuration des notifications
<a name="temporary-delegation-configuring-notifications"></a>

IAM utilise Amazon Simple Notification Service (SNS) pour vous communiquer les modifications de l'état des demandes de délégation. Lorsque vous créez une demande de délégation, vous devez fournir un ARN de rubrique SNS à partir de votre AWS compte enregistré. IAM publiera des messages sur cette rubrique pour les événements importants, notamment lorsque les clients approuvent ou rejettent des demandes et lorsque le jeton d'échange est prêt.

**Note**  
Les sujets SNS ne peuvent pas se trouver dans des régions optionnelles. AWS Votre rubrique SNS doit se trouver dans une AWS région activée par défaut. Pour obtenir la liste des régions admises, consultez la section Gestion des AWS régions dans le guide de gestion des AWS comptes.

### Configuration de la rubrique SNS
<a name="temporary-delegation-sns-topic-configuration"></a>

Pour recevoir des notifications de demande de délégation, vous devez configurer votre rubrique SNS pour accorder à IAM les autorisations nécessaires pour y publier des messages. Ajoutez la déclaration de politique suivante à votre politique relative aux sujets SNS :

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIAMServiceToPublish",
            "Effect": "Allow",
            "Principal": {
                "Service": "iam.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:REGION:ACCOUNT-ID:TOPIC-NAME"
        }
    ]
}
```

**Important**  
Le sujet SNS doit figurer sur l'un de vos AWS comptes enregistrés. IAM n'acceptera pas les sujets SNS provenant d'autres comptes. Si la politique thématique n'est pas correctement configurée, vous ne recevrez pas de notifications de changement d'état ni le jeton d'échange.

### Types de notifications
<a name="temporary-delegation-notification-types"></a>

IAM envoie deux types de notifications :

*StateChange Notifications*

Envoyée lorsqu'une demande de délégation passe à un nouvel état (attribuée, en attente d'approbation, acceptée, finalisée, rejetée, expirée).

*ExchangeToken Notifications*

Envoyé lorsqu'un client libère le jeton de délégation (état Finalisé). Cette notification inclut le jeton d'échange dont vous avez besoin pour obtenir les informations d'identification.

### États de notification
<a name="temporary-delegation-notification-states"></a>

Vous recevrez des notifications pour les états de demande de délégation suivants :


| State | Type de notification | Description | 
| --- | --- | --- | 
| ASSIGNÉ | StateChange | La demande a été associée à un compte client | 
| EN ATTENTE D'APPROBATION | StateChange | Le client a transmis la demande à un administrateur pour approbation | 
| ACCEPTÉ | StateChange | Le client a approuvé la demande mais n'a pas encore publié le jeton | 
| FINALISÉ | StateChange | Le client a publié le jeton d'échange | 
| FINALISÉ | ExchangeToken | Cette notification contient le jeton d'échange | 
| REFUSÉE | StateChange | Le client a rejeté la demande | 
| EXPIRÉ | StateChange | Demande expirée avant d'être terminée | 

### Format du message de notification
<a name="temporary-delegation-notification-message-format"></a>

IAM publie des notifications SNS standard. Les informations relatives à la demande de délégation sont contenues dans le champ Message sous forme de chaîne JSON.

*Champs communs (toutes les notifications)*


| Champ | Type | Description | 
| --- | --- | --- | 
| Type | String | Soit « StateChange » soit « ExchangeToken » | 
| RequestId | String | L'ID de demande de délégation IAM | 
| RequestorWorkflowId | String | L'ID de flux de travail que vous avez fourni lors de la création de la demande | 
| State | String | État actuel de la demande | 
| OwnerAccountId | String | Numéro de AWS compte du client | 
| UpdatedAt | String | Horodatage lorsque l'état a changé (format ISO 8601) | 

*Champs supplémentaires (ExchangeToken notifications uniquement)*


| Champ | Type | Description | 
| --- | --- | --- | 
| ExchangeToken | String | Le jeton à échanger contre des informations d'identification à l'aide de l' AWS STS GetDelegatedAccessToken API | 
| ExpiresAt | String | Lorsque l'accès délégué expire (format ISO 8601) | 

### Exemples de notifications
<a name="temporary-delegation-example-notifications"></a>

*StateChange Notification*

```
{
  "Type": "Notification",
  "MessageId": "61ee8ad4-6eec-56b5-8f3d-eba57556aa13",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestorWorkflowId\":\"workflow-12345\",\"Type\":\"StateChange\",\"RequestId\":\"dr-abc123\",\"State\":\"ACCEPTED\",\"OwnerAccountId\":\"111122223333\",\"UpdatedAt\":\"2025-01-15T10:30:00.123Z\"}",
  "Timestamp": "2025-01-15T10:30:00.456Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

*ExchangeToken Notification*

```
{
  "Type": "Notification",
  "MessageId": "e44e5435-c72c-5333-aba3-354406782f5b",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestId\":\"dr-abc123\",\"RequestorWorkflowId\":\"workflow-12345\",\"State\":\"FINALIZED\",\"OwnerAccountId\":\"111122223333\",\"ExchangeToken\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\",\"ExpiresAt\":\"2025-01-15T18:30:00.123Z\",\"UpdatedAt\":\"2025-01-15T10:30:00.456Z\",\"Type\":\"ExchangeToken\"}",
  "Timestamp": "2025-01-15T10:30:00.789Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

## Échangez des jetons
<a name="temporary-delegation-exchange-tokens"></a>

Un jeton d'échange ou un jeton d'échange est émis par IAM lorsqu'un client accepte et finalise une demande de délégation. Le fournisseur du produit utilise ce jeton d'échange ou d'échange pour appeler l' AWS AWS STS GetDelegatedAccessToken API afin d'obtenir des AWS informations d'identification temporaires avec les autorisations approuvées par les clients. Le jeton d'échange lui-même ne donne pas accès à vos AWS ressources ; il doit être échangé contre des informations d'identification réelles via AWS STS.

Le jeton d'échange ne peut être utilisé que par le compte du fournisseur du produit qui a créé la demande de délégation. Le compte demandeur est intégré au jeton, ce qui garantit que seul le fournisseur de produits autorisé peut obtenir les informations d'identification pour accéder au compte client.

### Durée de l'accès
<a name="temporary-delegation-access-duration"></a>

La période de délégation commence lorsque le client libère le jeton d'échange, et non lorsque le fournisseur du produit l'échange. Une fois que le client a libéré le jeton :
+ Le fournisseur du produit reçoit le jeton via une notification SNS
+ Ils peuvent immédiatement l'échanger contre des informations d'identification
+ Les informations d'identification expirent à : heure de publication \$1 durée approuvée
+ Le fournisseur du produit peut échanger le jeton plusieurs fois avant son expiration pour obtenir de nouvelles informations d'identification si nécessaire.

### Rachats multiples
<a name="temporary-delegation-multiple-redemptions"></a>

Les fournisseurs de produits peuvent échanger le jeton plusieurs fois pendant la période de validité pour obtenir de nouvelles informations d'identification. Cependant, toutes les informations d'identification obtenues à partir du même jeton d'échange expirent en même temps, en fonction de la date à laquelle vous avez publié le jeton.

Exemple : Si vous approuvez une demande de délégation de 2 heures et que vous libérez le jeton à 10 h 00 :


| Heure de sortie du jeton | Heure d'échange de jetons | Expiration des informations d'identification | Temps utilisable | 
| --- | --- | --- | --- | 
| 10 h | 10 h | 12:00 | 2 heures | 
| 10 h | 10 h 20 | 12:00 | 1 heure 40 minutes | 
| 10 h | 11 h 40 | 12:00 | 20 minutes | 
| 10 h | 12 h 10 | Échec (le jeton a expiré) | 0 minutes | 

Comme le montre le tableau, l'échange du jeton plus tard dans la période de validité réduit le temps d'utilisation pour le fournisseur du produit.